sombre

Avec 850 millions de dollars en jeu, Polygon (MATIC) a versé la plus grosse prime de bogue de l’histoire.

22 octobre 2021

Polygon, une plateforme de contrats intelligents en plein essor et un centre de finances décentralisé L2, partage les détails du plus grand piratage possible dans l’histoire de DeFi.

Comment gagner 850 millions de dollars en soumettant à nouveau les transactions de Polygon.

Selon le post-mortem officiel publié par Immunefi, une plateforme de primes aux bugs multi-produits, au début d’octobre 2021, le pirate informatique Gerhard Wagner a soumis un rapport de bug à Polygon (MATIC).

Selon ce rapport, la faille dans la solution de mise à l’échelle de Polygon, Plasma, lui permettait de soumettre à nouveau la transaction de brûlage plusieurs fois. Le malfaiteur pouvait envoyer les demandes retirées à Polygon encore et encore, jusqu’à 223 fois.

Pour compromettre Polygon Plasma Bridge, un attaquant n’avait qu’à modifier légèrement certains paramètres techniques des données transactionnelles, c’est-à-dire le “premier octet du masque de branchement.”

Compte tenu du montant total des fonds bloqués dans le Deposit Manager Proxy du pont, plus de 850 millions de dollars de fonds des utilisateurs étaient en danger.

La plus grande menace, la plus grande prime

En tant que tel, Polygon aurait pu être visé par la plus grande attaque de l’histoire du segment DeFi : le “leader” actuel, Poly Network, a souffert d’un exploit de 611 millions de dollars.

L’équipe de Polygon a accordé la plus grande prime de bug bounty jamais accordée à M. Wagner, 2 000 000 $, plus la commission de la plateforme Immunefi. L’équipe a répondu au rapport d’Immunefi en 30 minutes et a confirmé le bug.

L’équipe stressé qu’aucun fonds d’utilisateur n’est à risque pour l’instant, et que ce piratage blanc devrait servir de leçon aux applications DeFi :

Aucun fonds d’utilisateur n’a été perdu (…) Construisons et rendons le web 3.0 plus résistant à de telles attaques futures.

Share
Tweet
Share
Share
Auteur
Articles connexes