Polygon Whitehatは、ユーザー資金で数十億ドルを節約することで75,000ドルを獲得しました

脆弱性報奨金プラットフォームImmunefiは、Polygonが最近、ネットワークのプルーフオブステークシステムの「重大度の高い」脆弱性にパッチを適用し、数十億ドルを危険にさらしていることを明らかにしました。

ポリゴンがクリティカルハックをかわす

イーサリアムのプルーフオブステークサイドチェーンであるPolygonは、数十億ドルの損失をもたらす可能性のある「コンセンサスバイパス」バグにパッチを適用しました。

Immunifiのバグ修正によると 報告 月曜日に公開されたこの脆弱性は、1月15日にホワイトハットNiv Yehezkelによって最初に報告されたもので、攻撃者がネットワークのコンセンサスしきい値をバイパスし、「預金管理者からすべての資金を使い果たし、無制限の引き出しを行うことを可能にしました。DoS [Denial-of-Service attack] もっと。”

バグを報告したことでPolygonから75,000ドルの報奨金を受け取ったイェヘズケル氏は、本日Twitterで、この脆弱性により数十億ドルが危険にさらされていると述べました。

ポリゴンからイーサリアムへのPoSブリッジに関する私の研究を共有することに興奮しています。そこでは、数十億ドルを危険にさらすコンセンサスバイパスの脆弱性を発見しました。 迅速な対応、専門的な共同作業、迅速なパッチ適用について、ImmunefiチームとPolygonチームに感謝します。 https://t.co/AKT0HrbWOE

–niv（@invlpgtbl） 2022年2月21日

Immunifiのレポートによると、この脆弱性は、イーサリアムでのPolygonのスマートコントラクトのプルーフオブステークシステムに影響を及ぼしました。 特に、攻撃者はこの脆弱性を悪用するために3つの非常に具体的な条件を満たす必要があります。 ただし、基準を満たすと、ネットワークのデポジットマネージャーからすべてのトークンを排出できるようになります。

「このコンセンサスバイパスの後、攻撃者はPolygonからのトークンの引き出しを偽造する悪意のあるチェックポイントを送信できます。これにより、基本的にすべてのトークンがデポジットマネージャーから排出され、すべてのheimdall料金が保存されていると主張します」とレポートは述べています。

エクスプロイトの潜在的な重大度についてコメントし、Immunefiの最高技術責任者であるDuncanTownsendは次のように述べています。 暗号ブリーフィング 「報告の時点ではバグが悪用されていなかったため、金銭的なリスクはありませんでした。」 彼はまた、脆弱性の深刻さを考えると、75,000ドルの報酬は「寛大」だと思ったとも述べました。

からのデータによると デファイ炎、Polygonは、DeFiエコシステム全体でロックされた合計値が41.7億ドルを超えています。 これはイーサリアムで最も使用されているサイドチェーンであり、ArbitrumやOptimismなどのレイヤー2ネットワークよりも多くの価値を持っています。 今月初め、有名なベンチャーキャピタル会社セコイアが主導する投資ラウンドで4億5000万ドルを調達した。

Polygonは、過去にいくつかの同様のセキュリティインシデントに対処してきました。 10月に、それはにつながる可能性のあるバグにパッチを当てました 8億5000万ドル エクスプロイト、それを開示したホワイトハットに200万ドルの報奨金を支払います。 12月、ネットワークの別の重大なバグが原因で、ハッカーがMATICトークンで160万ドルを盗みました。 Polygonは、インシデントに迅速に対応することで、200億ドルの危機を回避しました。

プレス時にPolygonチームにコメントを求めることはできませんでした。 Polygonは、通信チャネルでバグ修正の詳細を共有することにも反対しました。

開示：これを書いている時点で、この機能の作者はETHと他のいくつかの暗号通貨を所有していました。