White hat-hacker Gerhard Wagner heeft $ 2 miljoen verdiend na het melden van een oplossing voor een mogelijk kostbare "double-spend"-bug op het Polygon-netwerk.
In een blogpost van 21 oktober van Immunefi, een beveiligingsservice die bugrapporten in gedecentraliseerde financiële projecten helpt faciliteren, liep Plasma Bridge van Polygon-netwerk het risico $ 850 miljoen te laten verwijderen door een deskundige hacker. Volgens het project zou de kwetsbaarheid aanvallers in staat hebben gesteld om hun burn-transactie tot 223 keer van de bridge af te sluiten, waardoor een bedrag als $ 4.500 snel werd omgezet in $ 1 miljoen profi.
Onze beste handelsrobots
Immunefi meldde dat de dubbele uitgave werkte door eerst Ether (ETH) te storten via de Plasma Bridge en het opnameproces te starten nadat de transactie was bevestigd. Een hacker kan dan een week wachten en dezelfde opnames opnieuw indienen, met uitzondering van "een gewijzigde eerste byte van het vertakkingsmasker". Op voorwaarde dat de hacker kon beginnen met $ 3,8 miljoen, hadden ze mogelijk alle $ 850 tegoeden van de depositmanager van de bridge op dat moment kunnen opgebruiken.
Polygon stemde ermee in om het maximale bedrag te betalen voor een bug bounty-rapport - $ 2 miljoen - na het eerste rapport van Wagner op 5 oktober. Volgens het platform is de bug al op het mainnet geïmplementeerd na het testen, Wagner heeft het geld ontvangen, beweerde worden "de hoogste premie die ooit in de geschiedenis is uitbetaald", en er zijn geen gebruikersgelden verloren gegaan met de exploit.
Wagner speculeerde op zijn Medium-pagina dat de bug mogelijk te wijten is aan "het gebruik van de code van iemand anders en geen 100% begrip van wat het doet." Hij voegde eraan toe dat de oplossing "niet erg elegant" was, maar de exploit met dubbele uitgaven wel heeft verholpen.
Verwant:White hat-hacker betaalde DeFi's grootste gerapporteerde premie
Vóór deze laatste uitbetaling van $ 2 miljoen was de grootste premie voor een white hat-hacker naar programmeur Alexander Schlindwein gegaan, die in september een kwetsbaarheid in het protocol van Belt Finance ontdekte en $ 1,05 miljoen ontving. Het Amerikaanse ministerie van Buitenlandse Zaken kan dat record echter omverwerpen als een hacker informatie kan doorgeven over terreurverdachten, extremisten en door de staat gesponsorde hackers - de regering zei dat het beloningen zou uitreiken tot $ 10 miljoen.
Blijf lezen met betrekking tot CoinTelegraph