原文(英) Polygonは、8億5,000万ドル相当の損失を回避します。 脆弱性の開示に対して200万ドルを支払う
2021-10-22 17:00:20
Whitehatハッカーは最近、Polygonの重大な脆弱性を明らかにしました。 損失 8億5000万ドルの調子に。
ただし、Polygonチームはすぐに 保証する エクスプロイトによってユーザーの資金が失われたことのないコミュニティ。 実際、「責任を持ってバグを開示する」見返りに、Polygon 明らかに ホワイトハットに200万ドルの報奨金を提供したこと ゲルハルト・ワグナー。
DeFiバグバウンティプラットフォームであるImmunefiは、これが史上最高のバグバウンティであると付け加えました。
約束通り、私たちは別の記録を破りました。 @ g3rh4rdw4gn3r でバグを見つけました @ 0xPolygonのプラズマブリッジは、悪用された場合に8億5,000万ドルの損失をもたらす可能性があります。
賞金の支払いは最大で、200万ドルです。
不良動作修正済。 誰もが安全です!
すべての人にとって本当の勝利。https://t.co/1fqd4ul3uO
— Immunefi(@immunefi) 2021年10月21日
Immunefiによると、Wagnerは今月初めに、Polygon PlasmaBridgeに影響を与えたバグレポートを提出しました。 プラットフォームによってリリースされたレポート 述べました、
「この脆弱性により、攻撃者はブリッジから書き込みトランザクションを複数回、最大223回終了することができました。」
これは本質的に、ネットワーク上の「デポジットマネージャー」に影響を与える二重支払いのバグでした。 ポリゴンがイーサリアムブロックチェーンとの相互運用性を可能にすることを私たちは知っています。 セキュリティの弱点は、トランザクションのバーンプルーフを検証する撤回手順で見つかりました。
その後、Polygonは、Immunefiからの報告を受け取ってから、約1週間で違反を修正しました。 バグバウンティとは別に、Polygonには 有料 報奨金プログラムを促進するためのImmunefiへの委員会。
バグが以前に発見されなかった場合、何が起こった可能性がありますか?
プラグが遅れた場合、ポリゴンブリッジを介したETHトークンの大量のデポジットにより、引き出し手順が223回再送信された可能性があります。
ワーグナー 説明、
「悪意のあるユーザーは、この問題を利用して、同じ書き込みトランザクションの代替出口を作成し、Polygonネットワークで二重支払いを実行する可能性があります。」
ここで、ユーザーがイーサリアムアカウントに資金を請求できるようになるまでに7日間の待機期間があることに注意してください。 したがって、待機期間の後、最初のデポジットが$ 200,000の悪意のあるユーザーが最終的に発生する可能性があります 受信 同じトランザクションに対してさらに4460万ドル。
ただし、明確化のポイント。 Polygonには、PlasmaブリッジとPoSブリッジの2つのブリッジがあります。 バグは以前のプロトコルでのみ発見されました。
最近、Polygonは開発者の驚異的な成長を見ています。 実際、錬金術 明らかに 最近の投稿では、アクティブな開発者は平均して毎月60%以上成長しています。
さらに、10月の時点で、前月比の使用量は145%以上増加しています。