Polygon zkEVM sửa lỗi ngăn tài sản L1 kết nối với L2, không có rủi ro về tiền

Nhà nghiên cứu bảo mật chuỗi khối cuộn iczc đã tweet rằng một lỗ hổng đã được tìm thấy trong Polygon zkEVM và đã nhận được tiền thưởng lỗi Immunefi L2 từ nền tảng tiền thưởng lỗi Web3. Lỗ hổng này ngăn không cho tài sản được bắc cầu từ L1 sang Đa giác zkEVM (L2) được xác nhận quyền sở hữu đúng cách trong L2, ngăn việc di chuyển tài sản L1 sang L2. iczc đã tìm thấy trong logic mã xử lý kết quả trước khi thực hiện giao dịch xác nhận quyền sở hữu (yêu cầu tx) rằng những kẻ tấn công nguy hiểm có thể bỏ qua kiểm tra trước khi thực hiện "isReverted" trên giao dịch xác nhận quyền sở hữu bằng cách đặt phí gas thành khác 0, do đó nó có thể gửi một số lượng lớn các cuộc tấn công DoS yêu cầu chi phí thấp vào trình sắp xếp thứ tự và trình xác thực, làm tăng chi phí tính toán. Ngoài ra, các giao dịch không bị xóa ngay lập tức khỏi nhóm sau khi thực hiện. Trạng thái được cập nhật từ Đang chờ xử lý thành Đã chọn và tiếp tục tồn tại trong cơ sở dữ liệu PostgreSQL. Hiện tại, chỉ có một trình sắp xếp thứ tự đáng tin cậy có khả năng tìm nạp các giao dịch từ nhóm giao dịch và thực hiện chúng. Do đó, một lỗ hổng khác là đánh dấu ác ý bất kỳ số tiền gửi nào bằng cách gửi một giao dịch không thành công. Điều này sẽ khiến các giao dịch yêu cầu sử dụng chính xác các khoản tín dụng bị từ chối vì các khoản tín dụng đã được sử dụng. Điều này làm cho mạng L2 không sử dụng được cho người dùng mới. Nhóm Polygon zkEVM đã khắc phục lỗ hổng này bằng cách loại bỏ logic gas cụ thể để xác nhận giao dịch mà không gặp rủi ro về tiền.