Команда Polygon заплатила специалисту по кибербезопасности Гехарду Вагнеру $2 млн за обнаруженную уязвимость, которая угрожала потерей $850 млн. Согласно платформе для поиска ошибок Immunefi, вознаграждение стало рекордным в истории DeFi-сектора.
Гехард Вагнер заметил, что Polygon использует для защиты транзакций между своими сетями и Ethereum систему защиты Plasma, которую, по его мнению, сложно надежно реализовать.
Вагнер обнаружил уязвимость в Plasma Bridge, которая позволяла произвести двойную трату (double spending).
Потенциальная атака требовала от злоумышленника внесения определенной первоначальной суммы, но она несравнима с возможным выигрышем. Например, внеся токены на $100 000 и повторив их вывод максимально возможное количество раз, хакер получил бы $22,3 млн.
Совокупная сумма находившихся под угрозой составляла $850 млн.
Вагнер обнаружил баг 5 октября, команда по диагностике Immunefi подтвердила проблему и передала информацию клиенту. Разработчики Polygon также подтвердили наличие уязвимости и приступили к ее устранению.
В Immunefi добавили, что весь процесс: разработка исправления, тестирование, развертывание в основной сети, выплата вознаграждения специалисту и комиссионных платформе, занял неделю.
В Polygon согласились заплатить Вагнеру максимальную сумму по баунти-программе.