2 millió dollárt fizettek egy etikus hackernek egy Polygon-sebezhetőségért

A Polygon hálózata kapcsán a napokban írhattunk arról, hogy több arbitrázs-robot segítségével napi 5000 dollár ráfordítással keresnek egyesek napi közel 7 ezer dollárt. De ez alapvetően nem nevezhető igazi bugnak, hiszen mindössze a különböző platformok árfolyamkülönbségét használják ki a robotok és pillanatok alatt hajtanak végre tranzakciókat a profitért. Viszont egy október 21-én kelt blogposztban az Immunefi nevű kiberbiztonsági cég egy valódi Polygon bugról írt. Eszerint a Plasma Bridge DeFi projekt egyik sebezhetősége akár 850 millió dolláros veszteséget okozhatott volna.

Akár 2 millió dollárt ki lehetett volna csalni a Polygon DeFi projektjéből

Az Immunefi szerint a sebezhetőség lehetővé tette volna támadók számára, hogy akár 223 alkalommal is megszakítsák az égetési tranzakciójukat. Ezzel pedig 4500 dollárt könnyedén 1 millió dolláros haszonná tudtak volna alakítani. Le is írták pontosan a hiba kihasználásának módját. Eszerint először ethert kellett volna befizetni a Plasma Bridge-n keresztül. Majd a tranzakció megerősítése után kifizetést kellett volna rá kérni. Aztán egy hét múlva a bugot ismerő hackernek szimplán csak újra kellett volna kérnie a kifizetést egyetlen apró módosítással az egyik kódrészletben. És ha azt feltételezzük, hogy egy hacker képes lett volna befizetni 3,8 millió dollárt először, akkor a Plasma Bridge teljes, 850 millió dolláros betétösszegét ki tudta volna utaltatni magának. A történetben a legjobb az, hogy egy etikus hacker, Gerhard Wagner október ötödikén jelentette a hibát a Polygonnak.

Polygon

A hálózat ezért cserébe 2 millió dolláros jutalmat fizetett ki Wagnernek és egyben javították is a hibát. A Polygon projekt közleménye szerint nem történt veszteség a hálózaton. Egyben ezzel a valaha volt legnagyobb, etikus hackernek kifizetett jutalmat is a Polygon fizette eddig. A mostani 2 millió dolláros jutalom előtt még szeptemberben 1,05 millió dollárt fizetett egy másik platform egy programozónak. Ő sebezhetőséget azonosított a Belt Finance protokolljában. Visszatérve a Polygon ügyére, Wagner arról írt egy blogposztban, hogy a bug azért létezett a Plasma Bridge kódjában, mert nem a nulláról írták meg a kódot. Hanem valaki más kódrészletét használták fel úgy, hogy nem is tudták mit csinál valójában.