Haker Gerhard Wagner zarobił 2 miliony dolarów po zgłoszeniu rozwiązania potencjalnie kosztownego błędu „podwójnego wydatkowania” w sieci Polygon.
W poście na blogu z 21 października Immunefi, usługi bezpieczeństwa, która pomaga ułatwiać zgłaszanie błędów w zdecentralizowanych projektach finansowych, Plasma Bridge sieci Polygon był zagrożony usunięciem 850 milionów dolarów przez doświadczonego hakera. Zgodnie z projektem, luka umożliwiłaby atakującym wyjście z transakcji wypalania z mostu do 223 razy, szybko zamieniając kwotę jak 4500 USD na 1 milion dolarów zysku.
Nasze najlepsze roboty biznesowe
Immunefi poinformowało, że exploit podwójnego wydatkowania zadziałał, najpierw deponując Ether (ETH) przez most plazmowy i rozpoczynając proces wypłaty po potwierdzeniu transakcji. Haker może wtedy poczekać tydzień i ponownie przesłać te same wypłaty z wyjątkiem „zmodyfikowanego pierwszego bajtu maski gałęzi”. Zakładając, że haker był w stanie zacząć od 3,8 miliona dolarów, mogli potencjalnie wyczerpać wszystkie środki w wysokości 850 dolarów od menedżera depozytów pomostu w tym czasie.
Polygon zgodził się zapłacić maksymalną kwotę za raport o bounty za błąd — 2 miliony — po wstępnym raporcie Wagnera z 5 października. być „najwyższą nagrodą, jaką kiedykolwiek wypłacono w historii”, a żadne środki użytkownika nie zostały utracone wraz z exploitem.
Wagner spekulował na swojej stronie Medium, że błąd może być spowodowany „używaniem czyjegoś kodu i brakiem 100% zrozumienia tego, co robi”. Dodał, że rozwiązanie było „niezbyt eleganckie”, ale naprawił exploit podwójnego wydatkowania.
Związane z:Haker z białego kapelusza zapłacił największą zgłoszoną opłatę za nagrodę DeFi
Przed tą ostatnią wypłatą w wysokości 2 milionów dolarów, największa nagroda za hakera z białym kapeluszem trafiła do programisty Alexandra Schlindweina, który we wrześniu odkrył lukę w protokole Belt Finance i otrzymał 1,05 miliona dolarów. Jednak Departament Stanu USA może obalić ten rekord, jeśli haker będzie w stanie przekazać informacje o podejrzanych o terroryzm, ekstremistach i sponsorowanych przez państwo hakerach – rząd zapowiedział, że zaoferuje nagrody w wysokości do 10 milionów dolarów.
Czytaj dalej w odniesieniu do Cointelegraph