Polygon trả 2 triệu đô la tiền thưởng khi có lỗi có thể đã xâm phạm 850 triệu đô la tiền của người dùng

Tin tặc mũ trắng Gerhard Wagner đã kiếm được 2 triệu đô la sau khi báo cáo một giải pháp cho một lỗi “chi tiêu gấp đôi” có khả năng gây tốn kém trên mạng Polygon.

Trong một bài đăng trên blog ngày 21 tháng 10 từ Immunefi, một dịch vụ bảo mật giúp hỗ trợ báo cáo lỗi trong các dự án tài chính phi tập trung, Plasma Bridge của mạng Polygon có nguy cơ bị một hacker am hiểu xóa bỏ 850 triệu đô la. Theo dự án, lỗ hổng này sẽ cho phép những kẻ tấn công thoát khỏi giao dịch ghi của họ từ cây cầu lên đến 223 lần, nhanh chóng biến một số tiền như 4.500 đô la thành 1 triệu đô la profi.

Immunefi đã báo cáo việc khai thác chi tiêu gấp đôi đã hoạt động bằng cách gửi Ether (ETH) đầu tiên thông qua Cầu Plasma và bắt đầu quá trình rút tiền sau khi giao dịch được xác nhận. Sau đó, một tin tặc có thể đợi một tuần và gửi lại các lần rút tiền tương tự, ngoại trừ “byte đầu tiên được sửa đổi của mặt nạ nhánh”. Với điều kiện là tin tặc có thể bắt đầu với 3,8 triệu đô la, họ có thể có khả năng cạn kiệt tất cả 850 đô la tiền từ người quản lý tiền gửi của cây cầu vào thời điểm đó.

Polygon đã đồng ý trả số tiền tối đa cho một báo cáo tiền thưởng lỗi – 2 triệu đô la – theo báo cáo ban đầu của Wagner vào ngày 5 tháng 10. Theo nền tảng, lỗi đã được triển khai trên mạng chính sau khi thử nghiệm, Wagner đã nhận được tiền, tuyên bố là “tiền thưởng cao nhất từng được trả trong lịch sử” và không có tiền của người dùng nào bị mất khi khai thác.

Wagner đã suy đoán trên trang Medium của mình rằng lỗi có thể là do “sử dụng mã của người khác và không hiểu 100% về những gì nó hoạt động”. Ông nói thêm rằng giải pháp “không được thanh lịch cho lắm” nhưng đã khắc phục được việc khai thác chi tiêu gấp đôi.

Có liên quan: Hacker mũ trắng đã trả khoản tiền thưởng được báo cáo lớn nhất của DeFi

Trước khoản thanh toán 2 triệu đô la mới nhất này, tiền thưởng lớn nhất cho một hacker mũ trắng đã thuộc về lập trình viên Alexander Schlindwein, người vào tháng 9 đã phát hiện ra lỗ hổng trong giao thức của Belt Finance và được thưởng 1,05 triệu đô la. Tuy nhiên, Bộ Ngoại giao Hoa Kỳ có thể lật đổ kỷ lục đó nếu một tin tặc có thể chuyển thông tin về các nghi phạm khủng bố, những kẻ cực đoan và tin tặc được nhà nước bảo trợ – chính phủ cho biết họ sẽ tặng thưởng lên tới 10 triệu đô la.