Polygon Whitehat a récompensé 75 000 $ pour avoir économisé des milliards de fonds d’utilisateurs

Polygon Whitehat a récompensé 75 000 $ pour avoir économisé des milliards de fonds d’utilisateurs

Points clés à retenir

  • JeuxServer a corrigé un bogue « de grande gravité » qui aurait permis à un attaquant de drainer tous les fonds du contrat de gestionnaire de dépôt.
  • Niv Yehezkel, qui a découvert et signalé le bogue, a été récompensé de 75 000 $.
  • Il a déclaré sur Twitter que la vulnérabilité mettait en danger des milliards de dollars. Immunefi, quant à lui, a déclaré que la vulnérabilité était inexploitable au moment du rapport.

La plate-forme de primes aux bogues Immunefi a révélé que Polygon a récemment corrigé une vulnérabilité de « haute gravité » dans le système Proof-of-Stake du réseau qui mettait en danger des milliards de dollars.

Polygon Dodges Critical Hack

Polygon, une sidechain Proof-of-Stake sur Ethereum, a corrigé un bug de « consensus bypass » qui aurait pu entraîner des milliards de dollars de pertes.

Selon un correctif de bogue Immunifi rapport publiée lundi, la vulnérabilité, initialement signalée par whitehat Niv Yehezkel le 15 janvier, aurait permis à un attaquant de contourner le seuil de consensus du réseau et de « drainer tous les fonds du gestionnaire de dépôt, effectuer des retraits illimités, DoS [Denial-of-Service attack] et plus. »

Yehezkel, qui a reçu une prime de 75 000 $ de JeuxServer pour avoir signalé le bogue, a déclaré sur Twitter aujourd’hui que la vulnérabilité mettait en danger des milliards de dollars.

Selon le rapport d’Immunifi, la vulnérabilité a affecté le système Proof-of-Stake dans le contrat intelligent de Polygon sur Ethereum. Notamment, un attaquant aurait dû remplir trois conditions très spécifiques pour exploiter la vulnérabilité. Cependant, le respect des critères leur aurait permis d’épuiser tous tokens auprès du gestionnaire de dépôts du réseau.

A Lire aussi :   Le plus grand groupe financier sud-coréen lance une division Crypto

« Après ce contournement de consensus, l’attaquant peut envoyer des points de contrôle malveillants qui simulent un retrait de tokens de Polygon qui draine essentiellement tout tokens du gestionnaire de dépôt, réclamant tous les frais heimdall stockés et plus encore », indique le rapport.

Commentant la gravité potentielle de l’exploit, Duncan Townsend, directeur de la technologie d’Immunefi, a déclaré Briefing sur la cryptographie qu' »aucune somme d’argent n’était en jeu car le bogue n’était pas exploitable au moment du rapport ». Il a également déclaré qu’il pensait que la récompense de 75 000 $ était « généreuse » compte tenu de la gravité de la vulnérabilité.

Selon les données de Defi Llama, Polygon détient plus de 4,17 milliards de dollars de valeur totale verrouillée dans son écosystème DeFi. C’est la sidechain la plus utilisée d’Ethereum, qui a plus de valeur que les réseaux de couche 2 comme Arbitrum et Optimism. Plus tôt ce mois-ci, il a levé 450 millions de dollars lors d’un cycle d’investissement dirigé par la célèbre société de capital-risque Sequoia.

JeuxServer a traité plusieurs incidents de sécurité similaires dans le passé. En octobre, il a corrigé un bogue qui aurait pu entraîner une 850 millions de dollars exploit, payant une prime de 2 millions de dollars au chapeau blanc qui l’a révélé. En décembre, un hacker a volé 1,6 million de dollars dans MATIC tokens en raison d’un autre bogue critique dans le réseau. JeuxServer a évité une crise de 20 milliards de dollars en réagissant rapidement à l’incident.

L’équipe Polygon n’a pas pu être jointe pour commenter au moment de la presse. JeuxServer a également choisi de ne pas partager les détails du correctif de bogue sur ses canaux de communication.

A Lire aussi :   TRON déploie 20 millions de dollars supplémentaires «pour protéger le marché de la cryptographie»

Divulgation: Au moment de la rédaction de cet article, l’auteur de cette fonctionnalité possédait ETH et plusieurs autres crypto-monnaies.