Polygon, una solución de escalabilidad para Ethereum, ha concedido una recompensa de $2 millones de dólares a un hacker de sombrero blanco tras identificar una vulnerabilidad que ponía en riesgo unos $850 millones de dólares de capital.
Según la plataforma de recompensas por errores y servicios de seguridad Immunefi, que alberga el programa de recompensas de Polygon, se trata de la mayor recompensa jamás pagada en el mundo de las finanzas descentralizadas (DeFi).
La vulnerabilidad, encontrada por Gerhard Wagner en el puente Polygon Plasma el 5 de octubre, permitía a un atacante salir de su transacción de quemado desde el puente varias veces—hasta 223 veces.
Polygon Plasma Bridge es un canal de transacciones sin confianza que asegura la comunicación cruzada entre las redes Polygon (antes conocida como Matic) y Ethereum, permitiendo a los usuarios mover tokens entre las dos cadenas.
Según un post mortem compartido con Decrypt, disponer de sólo $100.000 dólares con los que lanzar un ataque, supondría una pérdida de $22,3 millones de dólares, o un total combinado de aproximadamente $850 millones de dólares para una cadena completa de ataques.
Polygon tardó 30 minutos en empezar a arreglar el problema después de que el hacker de sombrero blanco presentara la vulnerabilidad. Desde entonces, el fallo ha sido rápidamente parcheado, sin que los usuarios hayan perdido sus fondos.
"Felicitamos a Gerhard por su fantástico trabajo y su excelente informe, y agradecemos la rápida respuesta, la subsanación posterior y el rápido pago por parte de Polygon", dijo Mitchell Amador, fundador y director general de Immunefi.
Todo el problema, incluyendo el pago de la recompensa y el despliegue de la solución en la red principal, ha sido mitigado en una semana, dijo Immunefi.
Programa de recompensas de Polygon
Polygon lanzó su programa de recompensas sobre Immunefi en septiembre, ya que el equipo buscaba eliminar posibles fallos de seguridad.
El programa de recompensas es esencialmente una invitación abierta a los hackers de sombrero blanco para descubrir y reportar posibles vulnerabilidades en los contratos inteligentes y aplicaciones descentralizadas (dApps) de Polygon.
Los investigadores de seguridad serán recompensados por sus esfuerzos basándose en el sistema de clasificación de la gravedad de la vulnerabilidad de Immunefi, que clasifica las amenazas según la gravedad de los problemas que identifican. La recompensa mínima posible es de $1.000 dólares para las amenazas de bajo nivel, y la máxima—que se concede por descubrir vulnerabilidades críticas como la de Wagner—es de $2 millones de dólares.
"Esperamos que esta recompensa por Immunefi sirva de ejemplo para otros proyectos de la web 3.0 y atraiga a los cerebros de la comunidad de investigadores de seguridad de sombrero blanco para que contribuyan a la web 3.0 y la hagan más resistente a futuras amenazas de seguridad", dijo Jaynti Kanani, cofundador de Polygon.
Anteriormente, la red Polygon se sometió a una auditoría de contratos inteligentes de la empresa de ciberseguridad Certik. Actualmente ocupa el puesto 18 en la clasificación de seguridad de Certik.