💬 Polygon Whitehat получил вознаграждение в размере 75 000 долларов США за экономию миллиардов средств пользователей

Polygon Whitehat получил вознаграждение в размере 75 000 долларов США за экономию миллиардов средств пользователей

Платформа Bug Bounty Immunefi сообщила, что Polygon недавно устранила уязвимость «высокой степени серьезности» в сетевой системе Proof-of-Stake, которая подвергает риску миллиарды долларов.

Polygon Dodges Critical Hack

Polygon, сайдчейн Proof-of-Stake на Ethereum, исправил ошибку «обхода консенсуса», которая могла привести к убыткам в миллиарды долларов.

Согласно отчету об исправлении ошибок Immunifi, опубликованному в понедельник, уязвимость, о которой первоначально сообщил 15 января Нив Йехезкель, позволила бы злоумышленнику обойти порог консенсуса в сети и «слить все средства с управляющего депозитами, при неограниченном снятии средств, DoS [атаки типа «отказ в обслуживании»] и многом другом».

Йехезкель, получивший от Polygon вознаграждение в размере 75 000 долларов США за сообщение об ошибке, заявил сегодня в Твиттере, что уязвимость подвергает риску миллиарды долларов.

Рад поделиться своим исследованием моста PoS от Polygon к Ethereum, в котором я обнаружил уязвимость для обхода консенсуса, которая подвергает риску миллиарды долларов. Спасибо команде Immunefi и команде Polygon за быстрое реагирование, профессиональную совместную работу и быстрое исправление. https://t.co/AKT0HrbWOE — нив (@invlpgtbl) 21 февраля 2022 г.

— niv (@invlpgtbl) 21 февраля 2022 г.

Согласно отчету Immunifi, уязвимость затронула систему Proof-of-Stake в смарт-контракте Polygon на Ethereum. Примечательно, что злоумышленнику необходимо было выполнить три очень конкретных условия, чтобы воспользоваться уязвимостью. Однако соответствие критериям позволило бы им вывести все токены из депозитного менеджера сети.

«После этого обхода консенсуса злоумышленник может отправить вредоносные контрольные точки, которые имитируют вывод токенов из Polygon, что фактически истощает все токены из управляющего депозитами, заявляя о сохранении всех комиссий Хеймдалля и многом другом», — говорится в отчете.

Комментируя потенциальную серьезность эксплойта, главный технический директор Immunefi Дункан Таунсенд сказал Crypto Briefing, что «деньги не подвергались риску, поскольку на момент публикации отчета уязвимость не могла быть использована». Он также сказал, что считает вознаграждение в размере 75 000 долларов США «щедрым», учитывая серьезность уязвимости.

Согласно данным Defi Llama, общая стоимость Polygon составляет более 4,17 млрд долларов, заблокированных в экосистеме DeFi. Это наиболее часто используемая боковая цепь Ethereum, имеющая большую ценность, чем сети уровня 2, такие как Arbitrum и Optimism. Ранее в этом месяце компания привлекла 450 млн долларов США в рамках инвестиционного раунда под руководством известной венчурной компании Sequoia.

В прошлом компания Polygon сталкивалась с несколькими подобными инцидентами, связанными с безопасностью. В октябре компания исправила ошибку, которая могла привести к эксплойту на сумму 850 миллионов долларов, заплатив вознаграждение в размере 2 миллионов долларов за раскрытие этой ошибки. В декабре хакер украл токены MATIC на $1,6 млн из-за очередной критической ошибки в сети. Polygon предотвратил кризис в размере 20 миллиардов долларов, быстро отреагировав на инцидент.

На момент публикации нам не удалось получить комментарий от команды Polygon. Компания Polygon также отказалась от публикации сведений об исправлении ошибки в своих каналах связи.

Раскрытие информации: на момент написания этой статьи автору этой функции принадлежали ETH и несколько других криптовалют.