Der White-Hat-Hacker Gerhard Wagner hat 2 Millionen US-Dollar verdient, nachdem er eine Lösung für einen potenziell kostspieligen „Double-Spend“-Bug im Polygon-Netzwerk gemeldet hatte.
In einem Blog-Beitrag vom 21. Oktober von Immunefi, einem Sicherheitsdienst, der Fehlerberichte in dezentralisierten Finanzprojekten erleichtert, war die Plasma Bridge des Polygon-Netzwerks bei Risiko 850 Millionen US-Dollar von einem sachkundigen Hacker entfernt zu haben. Dem Projekt zufolge hätte die Schwachstelle es Angreifern ermöglicht, ihre Burn-Transaktion bis zu 223 Mal von der Brücke zu verlassen, wodurch aus einem Betrag von etwa 4.500 US-Dollar schnell ein Gewinn von 1 Million US-Dollar wurde.
Immunefi berichtete, dass der Double-Spend-Exploit funktionierte, indem zuerst Ether (ETH) über die Plasma Bridge eingezahlt und der Auszahlungsprozess gestartet wurde, nachdem die Transaktion bestätigt wurde. Ein Hacker könnte dann eine Woche warten und die gleichen Auszahlungen mit Ausnahme von “einem modifizierten ersten Byte der Zweigmaske” erneut einreichen. Vorausgesetzt, der Hacker konnte mit 3,8 Millionen US-Dollar beginnen, hätte er möglicherweise alle 850 US-Dollar des damaligen Depotverwalters der Brücke aufgebraucht.
Polygon stimmte zu, seinen Höchstbetrag für einen Bug-Bounty-Bericht – 2 Millionen US-Dollar – nach Wagners erstem Bericht am 5. Oktober zu zahlen. Laut der Plattform wurde der Fehler nach dem Testen bereits im Mainnet bereitgestellt sei „das höchste jemals in der Geschichte ausgezahlte Kopfgeld“, und es gingen keine Benutzergelder durch den Exploit verloren.
Wagner spekuliert auf seiner Medium-Seite, dass der Fehler möglicherweise darauf zurückzuführen ist, dass “den Code von jemand anderem verwendet wird und nicht zu 100% verstanden wird, was er tut”. Er fügte hinzu, die Lösung sei „nicht sehr elegant“, behebt jedoch den Double-Spend-Exploit.
Verwandt: White-Hat-Hacker zahlte DeFis größte gemeldete Kopfgeldgebühr
Vor dieser jüngsten Auszahlung von 2 Millionen US-Dollar ging das größte Kopfgeld für einen White-Hat-Hacker an den Programmierer Alexander Schlindwein, der im September eine Schwachstelle im Protokoll von Belt Finance entdeckte und 1,05 Millionen US-Dollar erhielt. Das US-Außenministerium könnte diesen Rekord jedoch stürzen, wenn ein Hacker Informationen über Terrorverdächtige, Extremisten und staatlich geförderte Hacker weitergeben kann – die Regierung sagte, sie würde Belohnungen von bis zu 10 Millionen US-Dollar anbieten.