Haker znalazł lukę w sieci Polygon i otrzymał 2 mln USD bug bounty

Śmiało można powiedzieć, że Polygon miał w ostatnich dniach szczęście. Projekt uniknął bowiem wykorzystania poważnej luki w zabezpieczeniach, która mogła doprowadzić sieć do strat sięgających nawet 850 milionów dolarów. Whitehat haker, Gerhard Wagner, odkrył i ujawnił błąd, ratując tym samym Polygon przed ewentualnymi stratami. Całe szczęście platforma nie straciła żadnych środków. W podziękowaniu za "odpowiedzialne ujawnienie błędu", Polygon przekazał hakerowi 2 mln USD nagrody bug bounty. Zespół wyraził również wdzięczność dla Immunefi, za wsparcie na rzecz nagrody. Według Immunefi, Wagner znalazł błąd w moście plasma od Polygon. Luka pozwalała hakerowi na wielokrotne wyjście transakcyjne z mostu. W sumie, wykorzystał on transakcję spalania aż 223 razy.

As promised, we broke another record. @g3rh4rdw4gn3r found a bug in @0xPolygon's plasma bridge that could have resulted in an $850m loss if exploited. The bounty payout is the largest: $2m. Bug fixed. Everyone is safe! A real win for all.//t.co/1fqd4ul3uO

— Immunefi (@immunefi) October 21, 2021

Zasadniczo, problem polegał na podwójnym wydawaniu pieniędzy, co miało wpływ na "Deposit Manager" w sieci. Zespół Immunefi poinformował o błędzie natychmiast. Polygon zrobił to niewiele później i w ciągu 30 minut rozpoczął pracę nad znalezieniem rozwiązania. W trakcie naprawiania problemów, zespół obliczył również potencjalnie zagrożone fundusze. Z kolei Immunefi stwierdziło:

Whitehat otrzymał od Polygonu wypłatę w wysokości 2 milionów dolarów, co jest najwyższym bounty wypłaconym w historii. Gratulujemy Gerhardowi za jego fantastyczną pracę i doskonałe zgłoszenie. Chcemy również podziękować Polygonowi za szybką odpowiedź i późniejszą poprawkę.

Polygon był w stanie rozwiązać problem w ciągu tygodnia od otrzymania raportu od Immunefi. W tym czasie blockchain przetestował poprawkę i wdrożył ją do mainnetu. Oprócz zapłacenia hakerowi whitehat, Polygon został również obarczony prowizją ze strony Immunefi.