Хакер в белой шляпе Герхард Вагнер заработал 2 миллиона долларов после того, как сообщил о решении потенциально дорогостоящей ошибки «двойного расходования» в сети Polygon.
В сообщении от 21 октября в блоге Immunefi, службы безопасности, которая помогает создавать отчеты об ошибках в децентрализованных финансовых проектах, Plasma Bridge сети Polygon подвергался риску удаления 850 миллионов долларов со стороны знающего хакера. Согласно проекту, уязвимость позволяла злоумышленникам выходить из своей транзакции записи с моста до 223 раз, быстро превращая сумму вроде 4500 долларов в 1 миллион долларов прибыли.
Immunefi сообщила, что сработал эксплойт с двойным расходом: первый ввод эфира (ETH) через плазменный мост и запуск процесса вывода средств после подтверждения транзакции. Затем хакер может подождать неделю и повторно отправить те же запросы, за исключением «измененного первого байта маски ветвления». Если бы хакер мог начать с 3,8 миллиона долларов, он потенциально мог бы исчерпать все 850 долларов из средств управляющего депозитами моста в то время.
Polygon согласился выплатить максимальную сумму за отчет об ошибке – 2 миллиона долларов – после первоначального отчета Вагнера 5 октября. Согласно платформе, ошибка уже была развернута в основной сети после тестирования, Вагнер получил средства, заявленныебыть «самой высокой наградой, когда-либо выплачиваемой в истории», а средства пользователей не были потеряны из-за эксплойта.
Вагнер предположил на своей странице Medium, что ошибка могла быть связана с «использованием чужого кода и отсутствием 100% понимания того, что он делает». Он добавил, что решение было «не очень элегантным», но исправило уязвимость с двойным расходом.
По теме: хакер в белой шляпе заплатил самую большую комиссию за вознаграждение DeFi, о которой сообщалось
Перед этой последней выплатой в 2 миллиона долларов самая крупная награда за хакера в белой шляпе была выплачена программисту Александру Шлиндвайну, который в сентябре обнаружил уязвимость в протоколе Belt Finance и получил 1,05 миллиона долларов. Однако Государственный департамент США может опровергнуть этот рекорд, если хакер сможет передать информацию о подозреваемых в терроризме, экстремистах и спонсируемых государством хакерах – правительство заявило, что предложит вознаграждение в размере до 10 миллионов долларов.