Immunefi poinformowało, że badacz bezpieczeństwa Gerhard Wagner uzyskał nagrodę o wartości 2 mln. dolarów za wykrycie luki na platformie finansowej Polygon Technology. Będzie to najwyższa nagroda, jaką kiedykolwiek wypłacono za błąd. Powodem takiej wyceny jest fakt, że wykryta luka narażała na niebezpieczeństwo kryptowalutę o wartości 850 milionów dolarów.
Rekordowa nagroda. Fundusz wypłaci dwa miliony dolarów
Luka miała dotyczyć procesu wymiany kryptowaluty ETH na Polygon i pozwalała wypłacić tę drugą walutę aż do 223 razy. Pewnym pocieszeniem było jednak to, że wykorzystanie luki wymagało inwestycji z góry.
Przykładowo deponując 100 tys. USD w ETH można było wypłacić Polygon o wartości 22,3 mln USD (wielokrotność jednej transakcji). Z kolei jeśli ktoś wpłaciłby ETH o wartości około 3,8 mln USD to mógłby wypłacić Polygon o wartości aż 850 mln USD.
Luka została ujawniona 5 października, a wypłacenie nagrody i wprowadzenie poprawek do systemu zajęło Polygon Technology zaledwie tydzień. Jest to bardzo szybkie tempo, ale z drugiej strony czynnikiem motywującym było ryzyko straty kryptowaluty o wartości blisko miliarda USD.
Wiele firm stosuje programy typu Bug Bounty. Przykładowo Apple regularnie oferuje nagrody za znalezienie luk w zabezpieczeniach swoich produktów wyceniane nawet na 1 mln USD w przypadku poważnych znalezisk. Niestety nagrody za mniej krytyczne luki są już dużo niższe.