El hacker de sombrero blanco Gerhard Wagner se ganó 2 millones de dólares, después de informar sobre una solución a un bug de "doble gasto" potencialmente costoso en la Polygon Network.

En una publicación de su blog el 21 de octubre de Immunefi, un servicio de seguridad que ayuda a facilitar los informes de bugs es en proyectos financieros descentralizados, Puente Plasma de la Polygon Network corría el riesgo de que un hacker informático experto eliminara 850 millones de dólares. Según el proyecto, la vulnerabilidad habría permitido a los atacantes salir de su transacción de quemado desde el puente hasta 223 veces, convirtiendo rápidamente una cantidad como USD 4,500 en 1 millón de dólares en ganancias.

Immunefi informó que el exploit de doble gast ofuncionaba depositando primero Ether (ETH) a través del Puente Plasma y comenzar el proceso de retiro después de que se confirmó la transacción. Un hacker informático podría esperar una semana y volver a enviar los mismos retiros con la excepción de "un primer byte modificado de la máscara de la rama". Siempre que el hacker informático pudiera comenzar con 3.8 millones de dólares podría haber agotado todos los fondos de USD 850 del administrador de depósitos del puente en ese momento.

Polygon acordó pagar su monto máximo por un informe de recompensa por bug (2 millones de dólares) tras el informe inicial de Wagner el 5 de octubre. Según la plataforma, el bug ya se ha implementó en la mainnet después de la prueba, Wagner recibió los fondos, afirmó ser "la recompensa más alta jamás pagada en la historia", y no se perdieron fondos de los usuarios con el exploit.

Wagner especuló en su página de Medium que el bug podría deberse a "usar el código de otra persona y no entender al 100% lo que hace". Añadió que la solución "no era muy elegante", pero solucionó el exploit de doble gasto.

Antes de este último pago de 2 millones de dólares, la mayor recompensa para un hacker informático de sombrero blanco había recaído para el programador Alexander Schlindwein, quien en septiembre descubrió una vulnerabilidad en el protocolo de Belt Finance y recibió 1.05 millones de dólares. Sin embargo, el Departamento de Estado de EE. UU. podría batir ese récord si un hacker informático es capaz de transmitir información sobre sospechosos de terrorismo, extremistas y hackers informáticos patrocinados por el estado; el gobierno dijo que ofrecería recompensas de hasta 10 millones de dólares.

Sigue leyendo: