dimanche, décembre 22, 2024

Polygon verse une prime de 2 millions de dollars sur un bug qui aurait pu compromettre les fonds des utilisateurs de 850 millions de dollars

Le hacker au chapeau blanc Gerhard Wagner a gagné 2 millions de dollars après avoir signalé une solution à un bogue de «double dépense» potentiellement coûteux sur le réseau Polygon.

Dans un article de blog publié le 21 octobre par Immunefi, un service de sécurité qui facilite les rapports de bogues dans les projets de financement décentralisés, le pont Plasma du réseau Polygon était à risque d’avoir 850 millions de dollars supprimés par un pirate informatique averti. Selon le projet, la vulnérabilité aurait permis aux attaquants de quitter leur transaction de gravure du pont jusqu’à 223 fois, transformant rapidement un montant de 4 500 $ en 1 million de dollars de bénéfices.

Immunefi a signalé que l’exploit de double dépense avait fonctionné en déposant d’abord de l’Ether (ETH) via le pont Plasma et en lançant le processus de retrait une fois la transaction confirmée. Un pirate pourrait alors attendre une semaine et soumettre à nouveau les mêmes retraits à l’exception d' »un premier octet modifié du masque de branche ». À condition que le pirate informatique ait pu commencer avec 3,8 millions de dollars, il aurait pu potentiellement épuiser tous les fonds de 850 dollars du gestionnaire de dépôt du pont à l’époque.

Polygon a accepté de payer son montant maximum pour un rapport de prime de bogue – 2 millions de dollars – à la suite du rapport initial de Wagner le 5 octobre. Selon la plate-forme, le bogue a déjà été déployé sur le réseau principal après les tests, Wagner a reçu les fonds, a affirmé être « la prime la plus élevée jamais versée dans l’histoire », et aucun fonds d’utilisateur n’a été perdu avec l’exploit.

Wagner spéculé sur sa page Medium que le bogue pourrait être dû à « l’utilisation du code de quelqu’un d’autre et ne pas avoir une compréhension à 100% de ce qu’il fait ». Il a ajouté que la solution n’était « pas très élégante » mais a corrigé l’exploit de double dépense.

En rapport: Un hacker au chapeau blanc a payé les plus gros frais de prime signalés par DeFi

Avant ce dernier versement de 2 millions de dollars, la plus grosse prime pour un hacker au chapeau blanc était allée au programmeur Alexander Schlindwein, qui a découvert en septembre une vulnérabilité dans le protocole de Belt Finance et a reçu 1,05 million de dollars. Cependant, le département d’État américain pourrait renverser ce record si un pirate informatique est en mesure de transmettre des informations sur des suspects terroristes, des extrémistes et des pirates informatiques parrainés par l’État – le gouvernement a déclaré qu’il offrirait des récompenses allant jusqu’à 10 millions de dollars.