Hacker mũ trắng Gerhard Wagner đã thu về 2 triệu USD sau khi báo cáo một giải pháp cho một lỗi “chi tiêu kép” có khả năng tốn kém trên mạng lưới Polygon.
Trong một bài đăng blog ngày 21 tháng 10 từ Immunefi, một dịch vụ bảo mật giúp tạo thuận lợi cho các báo cáo lỗi trong các dự án tài chính phi tập trung, cầu Plasma của mạng Polygon đã có mặt tại nguy cơ có $850 triệu loại bỏ bởi một hacker có kiến thức. Theo dự án, lỗ hổng này sẽ cho phép những kẻ tấn công thoát khỏi giao dịch đốt cháy của họ từ cây cầu lên đến 223 lần, nhanh chóng biến một số tiền như 4.500 đô la thành 1 triệu đô la profi.
Immunefi báo cáo khai thác chi tiêu hai lần làm việc bằng cách gửi Ether ( ETH ) lần đầu tiên qua cầu Plasma và bắt đầu quá trình rút tiền sau khi giao dịch được xác nhận. Một hacker sau đó có thể đợi một tuần và gửi lại các lần rút tiền tương tự với ngoại lệ là “một byte đầu tiên được sửa đổi của mặt nạ nhánh.” Với điều kiện hacker có thể bắt đầu với $3.8 triệu, họ có thể đã có khả năng cạn kiệt tất cả các quỹ $850 từ người quản lý tiền gửi của cây cầu vào thời điểm đó.
Polygon đã đồng ý trả số tiền tối đa cho một báo cáo tiền thưởng lỗi – 2 triệu USD – sau bản báo cáo ban đầu của Wagner vào ngày 5 tháng 10. Theo nền tảng này, lỗi đã được triển khai trên mainnet sau khi thử nghiệm, Wagner đã nhận được các quỹ, tuyên bố là “tiền thưởng cao nhất từng được trả trong lịch sử”, và không có quỹ người dùng nào bị mất với khai thác.
Wagner suy đoán trên trang Medium của mình rằng lỗi có thể là do “sử dụng mã của người khác và không có sự hiểu biết 100% về những gì nó làm.” Ông nói thêm giải pháp là “không phải là rất thanh lịch” nhưng đã sửa chữa việc khai thác hai chi tiêu.
Liên quan: Hacker mũ trắng trả phí thưởng được báo cáo lớn nhất của DEFi
trước khi thanh toán 2 triệu đô la mới nhất này, tiền thưởng lớn nhất cho một hacker mũ trắng đã đi về phía lập trình viên Alexander Schlindwein, người trong tháng phát hiện ra một lỗ hổng trong Belt tài chính giao thức và đã được trao $1.05 triệu. Tuy nhiên, Bộ Ngoại giao Hoa Kỳ có thể lật đổ hồ sơ đó nếu một hacker có thể truyền thông tin về nghi phạm khủng bố, cực đoan và tin tặc nhà nước tài trợ — chính phủ nói sẽ được cung cấp phần thưởng lên đến 10 triệu USD.
