Lỗ hổng bảo mật có thể gây rủi ro 850 triệu USD cho Polygon
Theo kết quả chính thức ngày 21/10/2021 được thông báo bởi Immunefi – một trong những nền tảng bug bounty (tiền thưởng cho việc tìm ra lỗi) phổ biến nhất trong Web3, nơi các hacker mũ trắng và các nhà phân tích bảo mật xem xét và sửa chữa các lỗ hổng của dự án, vào đầu tháng 10/2021, hacker mũ trắng Gerhard Wagner đã gửi một báo cáo lỗi cho Polygon (MATIC) – một nền tảng hợp đồng thông minh nổi tiếng và trung tâm tài chính phi tập trung L2
Như đã hứa, chúng tôi đã phá vỡ một kỷ lục khác. Gerhard tìm thấy một lỗi trong Plasma Bridge của Polygon có thể dẫn đến thiệt hại 850 triệu đô la nếu bị khai thác.
Khoản thanh toán tiền thưởng lớn nhất: 2 triệu đô la.
Đã sửa chữa lỗi không mong muốn. Mọi người đều an toàn!
Một chiến thắng thực sự cho tất cả.
Theo báo cáo này, lỗ hổng trong giải pháp mở rộng quy mô của Polygon, Plasma, đã cho phép nó gửi lại giao dịch ghi nhiều lần. Malefactor có thể gửi đi gửi lại các yêu cầu đã rút đến Polygon, lên đến 223 lần.
Để xâm phạm Plasma Bridge, kẻ tấn công chỉ cần sửa đổi một chút một số thông số kỹ thuật của dữ liệu giao dịch, tức là “byte đầu tiên của mặt nạ nhánh”.
Với tổng số tiền bị khóa trong Ủy quyền quản lý tiền gửi của cây cầu, hơn 850 triệu đô la tiền của người dùng đang gặp rủi ro.
*** Dự đoán giá MATIC: Sẽ sớm tăng lên 2 đô la? ***
Số tiền thưởng lớn nhất cho Gerhard
Như vậy, Polygon có thể đã bị nhắm mục tiêu bởi cuộc tấn công lớn nhất trong lịch sử của phân khúc DeFi: “Người dẫn đầu” hiện tại, Poly Network, bị khai thác 611 triệu đô la.
Nhóm đã trao phần thưởng tiền thưởng lỗi lớn nhất từ trước đến nay cho Gerhard với 2 triệu USD cộng với hoa hồng của nền tảng Immunefi. Nhóm nghiên cứu đã phản hồi ngay trong 30 phút và xác nhận lỗi, thông báo hiện tại không có tiền của người dùng nào gặp rủi ro và đây sẽ là một bài học cho các ứng dụng DeFi:
Không có tiền của người dùng nào bị mất (…) Hãy xây dựng và làm cho web 3.0 có khả năng phục hồi tốt hơn trước các cuộc tấn công như vậy trong tương lai.