mercoledì, Dicembre 8, 2021
Disponibile su Google Play
HomeCriptovalutaPolygon paga bounty da 2 milioni di dollari su un bug che...

Polygon paga bounty da 2 milioni di dollari su un bug che avrebbe potuto prosciugare i fondi degli utenti

L’hacker white hat Gerhard Wagner ha guadagnato 2 milioni di dollari segnalando una soluzione a un bug di “doppia spesa” potenzialmente costoso sul network di Polygon.

In un blog post pubblicato il 21 ottobre da Immunefi, un servizio di sicurezza che aiuta a gestire report di bug in progetti della finanza decentralizzata, il Plasma Bridge di Polygon rischiava di perdere 850 milioni di dollari. Stando al progetto, la vulnerabilità avrebbe permesso agli hacker di prelevare le proprie transazioni burn dal bridge fino a 223 volte, trasformando rapidamente una somma come 4.500$ in un profitto da 1 milione di dollari.

Immunefi ha spiegato che l’exploit consisteva nel depositare prima Ether (ETH) attraverso il Plasma Bridge, avviando poi il processo di prelievo dopo la conferma della transazione. In seguito, un hacker avrebbe potuto aspettare una settimana e sottoporre nuovamente gli stessi prelievi con l’eccezione di “un primo byte modificato della branch mask.” Se l’hacker avesse potuto iniziare con 3,8 milioni di dollari, sarebbe potenzialmente riuscito a prosciugare tutti gli 850 milioni di dollari in fondi presenti nel ponte.

Polygon ha accettato di pagare l’importo massimo per la sua bug bounty, 2 milioni di dollari, in seguito alla segnalazione iniziale di Wagner avvenuta il 5 ottobre. Stando alla piattaforma, il bug fix è già stato implementato su mainnet dopo i necessari test. Wagner ha ricevuto i fondi, considerati “la più grande bounty mai pagata nella storia,” e gli utenti non hanno perso fondi a causa dell’exploit.

In un articolo pubblicato sulla sua pagina Medium, Wagner ha ipotizzato che il bug fosse dovuto “all’uso del codice di qualcun altro senza comprendere al 100% cosa faccia.” Inoltre, ha aggiunto che la soluzione “non era molto elegante” ma ha eliminato la vulnerabilità.

Correlato: Hacker white hat riceve la più grande bounty mai segnalata nella DeFi

Prima di questa ricompensa da 2 milioni di dollari, la più grande bounty per un hacker white hat era stata pagata al programmatore Alexander Schlindwein, che a settembre ha scoperto una vulnerabilità nel protocollo Belt Finance, ricevendo 1,05 milioni di dollari. Tuttavia, il dipartimento di Stato americano potrebbe superare questo record se un hacker divulga informazioni su sospetti terroristi, estremisti e hacker finanziati da stati. Infatti, il governo ha annunciato che offrirà ricompense fino a 10 milioni di dollari.

Covid Abruzzo Basilicata Calabria Campania Emilia Romagna Friuli Venezia Giulia Lazio Liguria Lombardia Marche Molise Piemonte Puglia Sardegna Sicilia Toscana Trentino Alto Adige Umbria Valle d’Aosta Veneto Italia Agrigento Alessandria Ancona Aosta Arezzo Ascoli Piceno Asti Avellino Bari Barletta-Andria-Trani Belluno Benevento Bergamo Biella Bologna Bolzano Brescia Brindisi Cagliari Caltanissetta Campobasso Carbonia-Iglesias Caserta Catania Catanzaro Chieti Como Cosenza Cremona Crotone Cuneo Enna Fermo Ferrara Firenze Foggia Forlì-Cesena Frosinone Genova Gorizia Grosseto Imperia Isernia La Spezia L’Aquila Latina Lecce Lecco Livorno Lodi Lucca Macerata Mantova Massa-Carrara Matera Messina Milano Modena Monza e della Brianza Napoli Novara Nuoro Olbia-Tempio Oristano Padova Palermo Parma Pavia Perugia Pesaro e Urbino Pescara Piacenza Pisa Pistoia Pordenone Potenza Prato Ragusa Ravenna Reggio Calabria Reggio Emilia Rieti Rimini Roma Rovigo Salerno Medio Campidano Sassari Savona Siena Siracusa Sondrio Taranto Teramo Terni Torino Ogliastra Trapani Trento Treviso Trieste Udine Varese Venezia Verbano-Cusio-Ossola Vercelli Verona Vibo Valentia Vicenza Viterbo

YouGoNews