Polygon Whitehat получил вознаграждение в размере 75,000 XNUMX долларов США за экономию миллиардов средств пользователей

Платформа по поиску ошибок Immunefi сообщила, что Polygon недавно исправила уязвимость «высокой серьезности» в сетевой системе Proof-of-Stake, которая поставила под угрозу миллиарды долларов.

Полигон уклоняется от критического взлома

Polygon, сайдчейн Proof-of-Stake на Ethereum, исправил ошибку «обхода консенсуса», которая могла привести к потерям в миллиарды долларов.

Согласно исправлению ошибки Immunifi отчету опубликованная в понедельник, уязвимость, о которой первоначально сообщил «белая шляпа» Нив Йехезкель 15 января, позволила бы злоумышленнику обойти порог консенсуса в сети и «вывести все средства из депозитного менеджера, участвовать в неограниченном снятии средств, DoS [Denial-of- Сервисная атака] и многое другое».

Йехезкель, получивший вознаграждение в размере 75,000 XNUMX долларов от Polygon за сообщение об ошибке, заявил сегодня в Твиттере, что уязвимость подвергает риску миллиарды долларов.

Рад поделиться своим исследованием моста PoS от Polygon к Ethereum, в котором я обнаружил уязвимость для обхода консенсуса, которая подвергает риску миллиарды долларов. Спасибо команде Immunefi и команде Polygon за быстрое реагирование, профессиональную совместную работу и быстрое исправление. https://t.co/AKT0HrbWOE

— нив (@invlpgtbl) 21 февраля 2022

Согласно отчету Immunifi, уязвимость затронула систему Proof-of-Stake в смарт-контракте Polygon на Ethereum. Примечательно, что злоумышленнику необходимо было выполнить три очень конкретных условия, чтобы воспользоваться уязвимостью. Однако соответствие критериям позволило бы им слить все токены с депозитного менеджера сети. 

«После этого обхода консенсуса злоумышленник может отправить вредоносные контрольные точки, которые имитируют снятие токенов с Polygon, что, по сути, истощает все токены у управляющего депозитами, требуя сохранения всех комиссий Хеймдалля и многого другого», — говорится в отчете.

Комментируя потенциальную серьезность эксплойта, главный технический директор Immunefi Дункан Таунсенд сказал: Криптографический брифинг что «деньги не подвергались риску, потому что ошибка не могла быть использована на момент отчета». Он также сказал, что считает вознаграждение в размере 75,000 XNUMX долларов «щедрым», учитывая серьезность уязвимости.

Согласно данным Defi Llama, общая стоимость Polygon составляет более 4.17 миллиарда долларов, заблокированных в экосистеме DeFi. Это наиболее часто используемая боковая цепь Ethereum, имеющая большую ценность, чем сети уровня 2, такие как Arbitrum и Optimism. Ранее в этом месяце компания привлекла 450 миллионов долларов в рамках инвестиционного раунда, возглавляемого известной венчурной фирмой Sequoia.

В прошлом Polygon имел дело с несколькими подобными инцидентами безопасности. В октябре исправлена ​​ошибка, которая могла привести к $ 850 миллионов эксплойт, заплатив вознаграждение в размере 2 миллионов долларов белому хакеру, который его раскрыл. В декабре хакер украл токены MATIC на $1.6 млн из-за очередной критической ошибки в сети. Polygon предотвратил кризис в размере 20 миллиардов долларов, быстро отреагировав на инцидент. 

Получить комментарий от команды Polygon на момент публикации не удалось. Polygon также отказался делиться подробностями исправления ошибки в своих каналах связи.

Раскрытие информации: на момент написания автор этой функции владел ETH и несколькими другими криптовалютами.