原文(英uk)ポリゴンは、潜在的な8億5,000万ドルの脆弱性を回避した後、記録的な200万ドルの報奨金を支払います
2021-10-23 15:05:00
Polygonのチームは、約8億5,000万ドルの資本を危険にさらした重大な脆弱性を発見したことで、ホワイトハットハッカーのGerhardWagnerに200万ドルの記録的な報奨金を支払いました。 Gerhardの発見により、Polygon’s Networkでの潜在的な「二重支払い」バグが特定されました。これは、コストのかかる問題になる可能性があります。
Polygonの報奨金プログラムもホストしているバグ報奨金およびセキュリティプラットフォームであるImmunefiによると、これはDeFiで支払われる最高の報奨金です。
脆弱性
Decentralized Financeのバグレポートを作成する会社であるImmunefiは、PolygonのPlasmaBridgeが有能なハッカーに約8億5000万ドルを盗まれるリスクがあると述べたブログ投稿を投稿しました。 Immunefiは、この脆弱性を使用していると報告しました。 ハッカーは、プラズマブリッジから最大223回まで書き込みトランザクションを終了できます。 これにより、数千ドルが数百万ドルになる可能性があります。
それがどのように機能したか
Immunefiは、攻撃者がプラズマブリッジを介してEther(ETH)を展開し、エクスプロイトがどのように機能するかについても説明しました。 トランザクションが確認されると、攻撃者は引き出しを開始し、1週間待ってから、「ブランチマスクの最初のバイト」を少し変更して、同じ一連の引き出しを再送信できます。
このシナリオでは、攻撃者が380万ドルを預金した場合、ブリッジの預金マネージャーで利用可能な8億5000万ドルのユーザー資金全体を引き出すことができた可能性があります。
ポリゴンが動き出す
Wagnerが脆弱性を送信すると、Polygonはすぐに問題の修正を開始し、問題を認識して、30分以内に修正を開始しました。 ワーグナーの調査結果に対するPolygonの迅速な対応により、ユーザーの資金が危険にさらされたり失われたりすることはなく、問題はシームレスに解決されました。
Immunefiの創設者兼CEOであるMitchellAmadorは、Gerhardの調査結果についてコメントし、彼を祝福し、次のように述べています。
「Gerhardの素晴らしい仕事と優れたレポートを祝福し、迅速な対応、その後の修正、Polygonからの迅速な支払いに感謝します。」
最大の支払い
また、Polygonは、バグレポートの最大額を支払うことに同意し、Wagnerに200万ドルを支払いました。これは、DeFiでこれまでに支払われた最高の報奨金です。 ワーグナーによると、バグは次の理由で発生した可能性があります 「他人のコードを使用していて、それが何をするのかを100%理解していない。」 彼はまた、解決策はあまりエレガントではありませんが、二重支払いの抜け穴を修正することができたと付け加えました。
最新の200万ドルの支払いの前に、ホワイトハッカーに対する以前の最大の報奨金がベルトファイナンスのプロトコルに重大な脆弱性を発見したAlexander Sclindweinに送られ、105万ドルが報われました。
ポリゴンの報奨金プログラム
Polygonの報奨金プログラムは9月にImmunefiで開始され、チームはプロトコルのセキュリティ上の欠陥を取り除くことを目指しています。 Polygonの報奨金プログラムは、ホワイトハットハッカーを招待して、Polygonのスマートコントラクトと分散型アプリケーションの潜在的な脆弱性を探します。
ホワイトハットハッカーとセキュリティ研究者は、報告した脅威の重大度と特定した問題に応じて報奨を受けます。 これは、Immuniefiが脅威を重大度に応じてランク付けできる脆弱性重大度分類システムを使用して計算されます。 低レベルの脅威の最低報奨金は$ 1000ですが、Wagnerによって発見された重大な脆弱性などの高レベルの脅威は最大200万ドルになる可能性があります。
Polygonの共同創設者であるJayantiKananiは、この報奨金プログラムについて次のようにコメントしています。
「Immunefiでのこの恩恵が他のWeb3.0プロジェクトの模範となり、ホワイトハットセキュリティ研究コミュニティからギガの頭脳を引き付けてWeb 3.0に貢献し、将来のセキュリティの脅威からの回復力を高めることを願っています。」
Polygonは、サイバーセキュリティ会社Certikからのスマートコントラクトの完全な監査も受けています。
免責事項:この記事は情報提供のみを目的として提供されています。 法律、税務、投資、財務、またはその他のアドバイスとして提供または使用することを意図したものではありません。。
元ソース
続き・詳細はこちら
ポリゴンは、潜在的な8億5,000万ドルの脆弱性を回避した後、記録的な200万ドルの報奨金を支払います