O hacker whitehat, Gerhard Wagner, ganhou US$2 milhões após relatar uma solução para um bug potencialmente caro de “gasto duplo” na rede Polygon.
Em uma postagem no blog da Immunefi, um serviço de segurança que ajuda a facilitar relatórios de bugs em projetos financeiros descentralizados, a Plasma Bridge da rede Polygon corria o risco de ter $850 milhões removidos por um hacker. De acordo com o projeto, a vulnerabilidade teria permitido que os invasores saíssem da transação de gravação da ponte até 223 vezes, transformando rapidamente uma quantia de US$4.500 em lucro de US$1 milhão.
A Immunefi relatou que o exploit de gasto duplo funcionou depositando primeiro Ether (ETH) por meio da ponte de plasma e iniciando o processo de retirada após a confirmação da transação. Um hacker poderia então esperar uma semana e reenviar as mesmas retiradas, com exceção de “um primeiro byte modificado da máscara de ramificação”. Contanto que o hacker pudesse começar com $3,8 milhões, eles poderiam ter esgotado potencialmente todos os $850 de fundos do gerente de depósito da ponte.
A Polygon concordou em pagar o valor máximo por um relatório de recompensa de bug – US$2 milhões – seguindo o relatório inicial. De acordo com a plataforma, o bug já foi implantado na rede principal após o teste, Wagner recebeu os fundos, alegou ser a maior recompensa já paga na história, e nenhum dinheiro do usuário foi perdido com o exploit.
Wagner especulou em sua página do Medium que o bug pode ser devido ao “uso do código de outra pessoa e não ter um entendimento 100% do que ele faz”. Ele acrescentou que a solução não era muito elegante, mas corrigiu o exploit de gasto duplo.
Antes deste último pagamento de $2 milhões, a maior recompensa por um hacker whitehat foi para o programador, Alexander Schlindwein, que em setembro descobriu uma vulnerabilidade no protocolo da Belt Finance e recebeu $1,05 milhão. No entanto, o Departamento de Estado dos EUA pode derrubar esse recorde se um hacker conseguir passar informações sobre suspeitos de terrorismo, extremistas e hackers patrocinados pelo Estado – o governo disse que estaria oferecendo recompensas de até US$10 milhões.
