Polygon récompense un hacker pour la découverte d’un bug qui aurait fait perdre 850 $ millions au protocole

Au début du mois d’octobre, Gerhard Wagner a présenté à l’équipe d’évaluation d’Immunefy un rapport de vulnérabilité critique qui affectait le Plasma Bridge de Polygon.

Dans le rapport post-mortem soumis par Immunefy, il est indiqué :

“La vulnérabilité aurait permis à un attaquant de retirer sa transaction de brûleur de la passerelle, ce à plusieurs reprises, voire jusqu’à 223 fois. Il y avait environ 850 millions de dollars en péril. Une somme de 100 000 dollars seulement pour lancer l’attaque aurait entraîné des pertes de 22,3 millions de dollars ! Cela signifie que le DepositManager pour Plasma Bridge aurait pu être vidé avec un montant suffisant”.

Après 30 minutes, Polygon a confirmé le bug et a immédiatement commencé à corriger le problème souligné. Ainsi, le protocole a décidé de verser la somme de 2 millions de dollars au pirate blanc pour la détection cruciale de ce bug.

Une récompense de 2 millions de dollars pour avoir évité un piratage monumental de Polygon

Dans son communiqué, Immunefy a précisé que la somme versée à Gerhard représente la plus importante récompense jamais payée :

“Le [hacker White Hat] a reçu un paiement de 2 millions de dollars [de la part de] Polygon, ce qui est la plus haute récompense jamais versée de l’histoire. Nous félicitons Gerhard pour son travail fantastique et son excellent reportage. Nous tenons également à remercier Polygon pour sa réponse rapide et sa correction subséquente”.

Le hacker a découvert que le bug, présent dans le système Plasma, aurait permis à un pirate mal intentionné d’envoyer à Polygon des demandes de retrait à répétition, ce jusqu’à 223 fois.

Pour y parvenir, le pirate potentiel aurait dû modifier certains paramètres techniques des données transactionnelles, ce qui aurait pu risquer 850 millions de dollars en fonds d’utilisateurs.

L’équipe de Polygon a donc remercié Gerhard Wagner pour avoir découvert l’erreur, et a assuré aux utilisateurs que leurs fonds n’ont pas été affectés :

“Aucun des fonds des utilisateurs n’a été perdu.

Merci à @g3rh4rdw4gn3r pour avoir signalé le bug de manière responsable, ainsi qu’à @immunefi pour avoir fourni la prime de bug de 2 000 000 $.

Travaillons ensemble à bâtir et à rendre le web 3.0 plus résistant à de futures attaques de ce type.”

Enfin, Immunefi s’est félicité que la correction du bug ainsi que du déploiement de celle-ci sur le réseau principal aient été menés à bien, de même que le paiement de la récompense.

Il est possible de consulter la version originale et détaillée des conclusions de Gerhard Wagner sur son blog officiel.

Les origines du programme de récompenses de bugs

Dans un communiqué de septembre dernier sur le blog officiel de Polygon, il a été annoncé le lancement du programme de “chasse au bugs” de Polygon sur Immunefi, contre une récompense d’un montant maximum de 2 millions de dollars.

“Si vous êtes chercheur en sécurité et désireux de vous aventurer dans l’espace blockchain, il s’agit de votre chance de comprendre comment les choses fonctionnent.”

Ce programme de chasse aux bugs se concentre sur les contrats intelligents. Parmi les situations que Polygon cherche ainsi à éviter, on retrouve : la perte des fonds des utilisateurs par blocage permanent ou vol pur et simple, le blocage temporaire des fonds pour une durée indéterminée ou encore la manipulation des points de contrôle, entre autres.

Il convient de noter qu’Immunefi constitue la principale plateforme de primes pour découvertes de bugs dans l’écosystème de la finance décentralisée (DeFi).

Les meilleures plateformes de cryptos | Avril 2024

Exodus Explorer →

SunContract Explorer →

BYDFi Explorer →

Coinrule Explorer →

De.Fi Explorer →