La piattaforma di sicurezza defi Immunefi ha annunciato che un suo ricercatore di nome Gerhard Wagner è stato pagato ben 2 milioni di dollari per aver rilevato una vulnerabilità che colpisce la piattaforma defi Polygon Technology.
Si ritiene che questa sia la ‘taglia’ più alta mai pagata in un contesto del genere, ha dichiarato Immunefi, e questo perché il bug ha messo a rischio 850 milioni di dollari in criptovaluta.
La vulnerabilità è stata riscontrata in uno dei bridge tra le blockchain Polygon ed Ethereum, ovvero un insieme di contratti che aiutano a spostare le risorse dalla blockchain madre alla blockchain figlio, ha spiegato Polygon.
Il bridge utilizzato da Polygon doveva, in teoria, essere sicuro, ma Wagner ha scoperto una vulnerabilità che avrebbe potuto essere sfruttata per prelevare una quantità elevatissima di ETH depositata sotto forma di token Polygon.
Immunefi ha affermato che Wagner ha rivelato questa vulnerabilità il 5 ottobre e che Polygon Technology ha impiegato solo una settimana per pagare la taglia, pagare la commissione a Immunefi, testare una soluzione per risolvere il problema e implementarla sulla sua mainnet. Queste tempistiche non dovrebbero affatto sorprendere se si considera che in ballo c’erano quasi un miliardo di dollari in criptovaluta.
In che modo le compagnie investono sulla loro sicurezza?
Molte aziende del mondo tech (e non solo) offrono ricompense in caso di rilevamento di bug o altre criticità. Apple, ad esempio, paga fino a 1 milione di dollari l’anno per ovviare a difetti di sicurezza sui suoi iPhone. Tuttavia, la stragrande maggioranza delle compagnie offre pagamenti significativamente inferiori.
Altri ricercatori, in passato, sono stati meno discreti nel rivelare i difetti delle piattaforme defi. L’hacker di Poly Network, ad esempio, ha rubato token per un valore stimato di 600 milioni di dollari solo per restituire il bottino pochi giorni dopo, dopo aver rifiutato l’offerta di Poly Network di una taglia di 500 mila dollari per aver rivelato il difetto.
Wagner ha guadagnato ben quattro volte di più solo per aver mostrato che questo tipo di furto fosse possibile, senza danneggiare Polygon, a differenza dell’hacker di Poly Network che ha prima commesso il danno e poi rivelato il bug.
Questo, dunque, potrebbe essere il raro esempio di divulgazione responsabile più redditizia di sempre.