Noticias
Polygon evita pérdidas por valor de 850 millones de dólares; paga 2 millones de dólares por revelar la vulnerabilidad
Posted:
Journalist
Un hacker de Whitehat reveló recientemente una vulnerabilidad crítica en Polygon, una que podría haber resultado en pérdidas por una suma de $ 850 millones.
Sin embargo, el equipo de Polygon se apresuró a asegurar la comunidad que no se perdieron fondos de los usuarios debido al exploit. De hecho, a cambio de «divulgar el error de manera responsable», Polygon revelado que ha extendido una recompensa de $ 2 millones a Whitehat Gerhard Wagner.
Immunefi, una plataforma de recompensas por errores de DeFi, agregó que es la recompensa por errores más alta jamás pagada en la historia.
Como prometimos, rompimos otro récord. @ g3rh4rdw4gn3r encontré un error en @ 0xPolígonopuente de plasma que podría haber resultado en una pérdida de 850 millones de dólares si se explotara.
El pago de la recompensa es el mayor: 2 millones de dólares.
Error corregido. ¡Todos están a salvo!
Una verdadera victoria para todos.https://t.co/1fqd4ul3uO
– Immunefi (@immunefi) 21 de octubre de 2021
Según Immunefi, Wagner presentó un informe de error a principios de este mes, uno que afectó al Polygon Plasma Bridge. Un informe publicado por la plataforma. fijado,
«La vulnerabilidad permitió a un atacante salir de su transacción de grabación desde el puente varias veces, hasta 223 veces».
Básicamente, se trataba de un error de doble gasto que afectaba al ‘Administrador de depósitos’ en la red. Sabemos que Polygon permite la interoperabilidad con la cadena de bloques Ethereum. La debilidad de la seguridad se encontró en el procedimiento de retiro que verifica la prueba de quemado de las transacciones.
Polygon subsiguientemente solucionó la brecha en aproximadamente una semana después de recibir el informe de Immunefi. Aparte de la recompensa por errores, Polygon también pagado una comisión a Immunefi por facilitar el programa de recompensas.
¿Qué podría haber pasado si el error no se hubiera encontrado antes?
En caso de que el enchufe se hubiera retrasado, un gran depósito de tokens ETH a través del Puente Polígono podría haber vuelto a enviar un procedimiento de retiro 223 veces.
Wagner explicado,
«Un usuario malintencionado puede aprovechar el problema para crear salidas alternativas para la misma transacción de grabación y realizar gastos dobles en la red Polygon».
Aquí, cabe destacar que hay un período de espera de siete días antes de que un usuario pueda reclamar fondos a su cuenta Ethereum. Por lo tanto, después del período de espera, un usuario malintencionado con un depósito inicial de $ 200,000 puede terminar recepción $ 44,6 millones adicionales por la misma transacción.
Sin embargo, un punto de aclaración. Polygon ofrece dos puentes: el puente Plasma y el puente PoS. El error se encontró solo en el protocolo anterior.
Últimamente, Polygon ha experimentado un enorme crecimiento de desarrolladores. De hecho, la alquimia revelado en una publicación reciente que los desarrolladores activos están creciendo en más del 60% cada mes en promedio.
Además, el uso de mes a mes ha crecido en más de un 145%, a partir de octubre.
Esta es una traducción automática de nuestra versión en inglés.
