L’hacker white hat Gerhard Wagner ha guadagnato 2 milioni di dollari segnalando una soluzione a un bug di “doppia spesa” potenzialmente costoso sul network di Polygon.
In un blog post pubblicato il 21 ottobre da Immunefi, un servizio di sicurezza che aiuta a gestire report di bug in progetti della finanza decentralizzata, il Plasma Bridge di Polygon rischiava di perdere 850 milioni di dollari. Stando al progetto, la vulnerabilità avrebbe permesso agli hacker di prelevare le proprie transazioni burn dal bridge fino a 223 volte, trasformando rapidamente una somma come 4.500$ in un profitto da 1 milione di dollari.
Immunefi ha spiegato che l’exploit consisteva nel depositare prima Ether (ETH) attraverso il Plasma Bridge, avviando poi il processo di prelievo dopo la conferma della transazione. In seguito, un hacker avrebbe potuto aspettare una settimana e sottoporre nuovamente gli stessi prelievi con l’eccezione di “un primo byte modificato della branch mask.” Se l’hacker avesse potuto iniziare con 3,8 milioni di dollari, sarebbe potenzialmente riuscito a prosciugare tutti gli 850 milioni di dollari in fondi presenti nel ponte.