L’hacker white hat Gerhard Wagner ha guadagnato 2 milioni di dollari segnalando una soluzione a un bug di “doppia spesa” potenzialmente costoso sul network di Polygon.

In un blog post pubblicato il 21 ottobre da Immunefi, un servizio di sicurezza che aiuta a gestire report di bug in progetti della finanza decentralizzata, il Plasma Bridge di Polygon rischiava di perdere 850 milioni di dollari. Stando al progetto, la vulnerabilità avrebbe permesso agli hacker di prelevare le proprie transazioni burn dal bridge fino a 223 volte, trasformando rapidamente una somma come 4.500$ in un profitto da 1 milione di dollari.

Immunefi ha spiegato che l’exploit consisteva nel depositare prima Ether (ETH) attraverso il Plasma Bridge, avviando poi il processo di prelievo dopo la conferma della transazione. In seguito, un hacker avrebbe potuto aspettare una settimana e sottoporre nuovamente gli stessi prelievi con l’eccezione di “un primo byte modificato della branch mask.” Se l’hacker avesse potuto iniziare con 3,8 milioni di dollari, sarebbe potenzialmente riuscito a prosciugare tutti gli 850 milioni di dollari in fondi presenti nel ponte.

Polygon ha accettato di pagare l’importo massimo per la sua bug bounty, 2 milioni di dollari, in seguito alla segnalazione iniziale di Wagner avvenuta il 5 ottobre. Stando alla piattaforma, il bug fix è già stato implementato su mainnet dopo i necessari test. Wagner ha ricevuto i fondi, considerati “la più grande bounty mai pagata nella storia,” e gli utenti non hanno perso fondi a causa dell’exploit.

In un articolo pubblicato sulla sua pagina Medium, Wagner ha ipotizzato che il bug fosse dovuto “all’uso del codice di qualcun altro senza comprendere al 100% cosa faccia.” Inoltre, ha aggiunto che la soluzione “non era molto elegante” ma ha eliminato la vulnerabilità.

Correlato: Hacker white hat riceve la più grande bounty mai segnalata nella DeFi

Prima di questa ricompensa da 2 milioni di dollari, la più grande bounty per un hacker white hat era stata pagata al programmatore Alexander Schlindwein, che a settembre ha scoperto una vulnerabilità nel protocollo Belt Finance, ricevendo 1,05 milioni di dollari. Tuttavia, il dipartimento di Stato americano potrebbe superare questo record se un hacker divulga informazioni su sospetti terroristi, estremisti e hacker finanziati da stati. Infatti, il governo ha annunciato che offrirà ricompense fino a 10 milioni di dollari.