Biały haker Polygon otrzymał 75 000 USD za uratowanie miliardów funduszy użytkowników

22 lutego 2022 17:52

Autor: Redakcja

21 MARCA 2024 11:13

Platforma bug bounty Immunefi ujawniła, że Polygon załatał ostatnio “poważną” lukę w sieciowym systemie Proof-of-Stake, która zagrażała miliardom dolarów funduszy użytkowników.

Polygon uniknął poważnego włamania

Polygon, sidechain Proof-of-Stake na Ethereum, załatał błąd “consensus bypass”, który mógł spowodować straty idące w miliardy dolarów.

Zgodnie z opublikowanym w poniedziałek raportem Immunifi, luka zgłoszona pierwotnie przez białego hakera Niv Yehezkel w dniu 15 stycznia, pozwoliłaby napastnikowi na ominięcie progu konsensusu sieci i “opróżnienie wszystkich funduszy z menedżera depozytów, przeprowadzenie nieograniczonych wypłat, ataku DoS [Denial-of-Service attack] i więcej.”

Yehezkel, który otrzymał nagrodę 75 000 USD od Polygon za zgłoszenie błędu, powiedział dziś na Twitterze, że luka mogła spowodować utratę miliardów dolarów.

Excited to share my research on the Polygon to Ethereum PoS bridge, in which I have found a consensus bypass vulnerability that puts billions of dollars at risk. Thank you Immunefi team and Polygon team for the rapid response, professional joint work and quick patching. https://t.co/AKT0HrbWOE

— niv (@invlpgtbl) February 21, 2022

Według raportu Immunifi, luka dotyczyła systemu Proof-of-Stake w smart kontrakcie Polygon na Ethereum. Warto zauważyć, że napastnik musiałby spełnić trzy bardzo specyficzne warunki, aby wykorzystać błąd. Jednak gdyby mu się to udało, mógłby wydrenować wszystkie tokeny z menedżera depozytów w sieci.

Komentując powagę luki, dyrektor ds. technologii Immunefi – Duncan Townsend, stwierdził, że “żadne pieniądze nie były zagrożone, ponieważ błąd nie był możliwy do wykorzystania w momencie składania raportu”. Powiedział również, że jego zdaniem nagroda w wysokości 75 000 dolarów była “hojna”, biorąc pod uwagę powagę podatności.

Inne problemy Polygon

Według danych z Defi Llama, Polygon posiada ponad 4,17 miliarda dolarów całkowitej zablokowanej wartości. Jest to najczęściej wykorzystywany sidechain Ethereum, posiadający większą wartość niż sieci warstwy 2, takie jak Arbitrum i Optimism. Na początku tego miesiąca udało mu się zebrać 450 milionów dolarów w rundzie inwestycyjnej prowadzonej przez renomowaną firmę venture capital Sequoia.

Polygon miał już do czynienia z kilkoma podobnymi incydentami bezpieczeństwa w przeszłości. W październiku zespół załatał błąd, który mógł doprowadzić do utraty 850 milionów dolarów. Wówczas haker, który go ujawnił otrzymał 2 mln USD. W grudniu, anonimowy napastnik ukradł 1,6 miliona dolarów w tokenach MATIC z powodu innego poważnego w sieci. Polygon uchronił 20 miliardów dolarów dzięki szybkiej reakcji na ten incydent.