PolygonzkEVM已修复阻碍L1资产桥接至L2的漏洞,没有资金面临风险
5月29日消息,Scroll 区块链安全研究员 iczc 发推称,在 Polygon zkEVM 中发现一个漏洞,并获得来自 Web3 漏洞赏金平台 Immunefi L2 漏洞赏金。该漏洞导致从 L1 桥接至 Polygon zkEVM(L2)的资产无法在 L2 中正确认领,从而阻碍了 L1 至 L2 的资产迁移。
iczc 在处理认领交易(claim tx)预执行结果的代码逻辑中发现,恶意攻击者可以通过将 Gas 费设置为非零来绕过对认领交易的「isReverted」预执行检查,使其可以通过发送大量低成本的 claim 对定序器和验证器进行 DoS 攻击,从而增加计算开销。此外,交易不会在执行后立即从池中删除。状态从「待定」更新为「选定」,并继续存在于 PostgreSQL 数据库中。目前,只有一个可信的定序器能够从交易池中获取交易并执行它们。因此,另一个漏洞是通过发送一个失败的交易来恶意标记任何存款数。这将导致正确使用存款数的 认领交易被拒绝,因为存款数已经被使用。这使得新用户无法使用 L2 网络。Polygon zkEVM 团队通过删除认领交易的特定 gas 逻辑,修复了这一漏洞,没有资金面临风险。
免责声明:比特网作为开放的信息发布平台,所有资讯仅代表作者个人观点,与我们无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。
风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。
相关资讯