Polygon verse une prime de 2 millions de dollars sur un bug qui aurait pu compromettre les fonds des utilisateurs de 850 millions de dollars

Le hacker au chapeau blanc Gerhard Wagner a gagné 2 millions de dollars après avoir signalé une solution à un bogue de «double dépense» potentiellement coûteux sur le réseau Polygon.

Dans un article de blog publié le 21 octobre par Immunefi, un service de sécurité qui aide à faciliter les rapports de bogues dans les projets de financement décentralisés, Plasma Bridge du réseau Polygon risquait de se voir retirer 850 millions de dollars par un pirate informatique averti. Selon le projet, la vulnérabilité aurait permis aux attaquants de quitter leur transaction de gravure du pont jusqu’à 223 fois, transformant rapidement un montant de 4 500 $ en 1 million de dollars de bénéfices.

Immunefi a signalé que l’exploit de double dépense avait fonctionné en déposant d’abord de l’Ether (ETH) via le pont Plasma et en lançant le processus de retrait une fois la transaction confirmée. Un pirate pourrait alors attendre une semaine et soumettre à nouveau les mêmes retraits à l’exception d'”un premier octet modifié du masque de branche”. À condition que le pirate informatique ait pu commencer avec 3,8 millions de dollars, il aurait pu potentiellement épuiser tous les fonds de 850 dollars du gestionnaire de dépôt du pont à l’époque.

Polygon a accepté de payer son montant maximum pour un rapport de prime de bogue – 2 millions de dollars – à la suite du rapport initial de Wagner le 5 octobre. Selon la plate-forme, le bogue a déjà été déployé sur le réseau principal après les tests, Wagner a reçu les fonds, a affirmé être “la prime la plus élevée jamais versée dans l’histoire”, et aucun fonds d’utilisateur n’a été perdu avec l’exploit.

Wagner a spéculé sur sa page Medium que le bogue pourrait être dû à “l’utilisation du code de quelqu’un d’autre et à ne pas comprendre à 100% ce qu’il fait”. Il a ajouté que la solution n’était “pas très élégante” mais a corrigé l’exploit de double dépense.

Un hacker au chapeau blanc a payé les plus gros frais de prime signalés par DeFi

Avant ce dernier paiement de 2 millions de dollars, la plus grosse prime pour un hacker au chapeau blanc était allée au programmeur Alexander Schlindwein, qui a découvert en septembre une vulnérabilité dans le protocole de Belt Finance et a reçu 1,05 million de dollars. Cependant, le département d’État américain pourrait renverser ce record si un pirate informatique est en mesure de transmettre des informations sur des suspects terroristes, des extrémistes et des pirates informatiques parrainés par l’État – le gouvernement a déclaré qu’il offrirait des récompenses pouvant atteindre 10 millions de dollars.

Gaston Alexandre

En tant que travailleur indépendant, j’ai décidé de me lancer dans la rédaction d’articles basée sur le buzz international. Je traite ainsi différents sujets, et particulièrement ceux qui ont suscité un énorme engouement dans la société mondiale. J’écris ainsi des articles concernant les thématiques à fort caractère, c’est-à-dire qui créent un véritable impact émotionnel chez le lecteur. Le nombre d’articles que j’écris est variable au quotidien. L’objectif étant de fournir le maximum d’informations pertinentes du jour, vous pouvez alors découvrir de nombreuses publications d’une douzaine de lignes par article.
Bouton retour en haut de la page