Polymarket Meluncurkan Program Bug Bounty di Cantina Dengan Hadiah Hingga $5Juta

Secara Singkat

Polymarket meluncurkan program bounty bug yang diselenggarakan oleh Cantina, menawarkan hingga $5 juta, menargetkan kerentanan di seluruh kontrak pintar, sistem web, oracle, dan infrastruktur jaminan di platform berbasis Polygon-nya.

Platform pasar prediksi Polymarket memperkenalkan program bounty bug bekerja sama dengan platform keamanan Web3 Cantina, menawarkan hadiah hingga $5 juta dolar. Inisiatif ini menargetkan kerentanan di seluruh infrastruktur platform, termasuk kontrak pintar, sistem jaminan, integrasi oracle, dan aplikasi web-nya.

Platform ini, yang dikenal karena memungkinkan pengguna memasang taruhan uang nyata pada acara seperti pemilihan, keputusan bank sentral, dan hasil olahraga utama, telah memproses miliaran dolar dalam volume perdagangan, terutama selama siklus pemilihan Amerika Serikat 2024. Kontrak-kontraknya beroperasi di jaringan Proof-of-Stake Polygon dan menggabungkan beberapa jalur penyelesaian, beberapa metode verifikasi tanda tangan, dan sistem yang menghubungkan stablecoin dengan token internal.

Program ini dibagi menjadi dua area utama. Yang pertama berfokus pada infrastruktur pertukaran dan penyelesaian, yang mencakup seperangkat 18 kontrak pintar yang bertanggung jawab atas pelaksanaan perdagangan, penanganan biaya, pengelolaan jaminan, resolusi berbasis oracle, dan penyebaran dompet. Ini juga mencakup integrasi dengan kerangka kerja Token Kondisional Gnosis, meskipun masalah inti dalam kerangka tersebut dikecualikan. Area kedua menangani kerentanan dalam platform web, termasuk risiko kritis seperti eksekusi kode jarak jauh, pelanggaran data, pengambilalihan subdomain yang melibatkan interaksi dompet, dan injeksi transaksi berbahaya.

Struktur Insentif dan Klasifikasi Tingkat Keparahan

Hadiah disusun berdasarkan tingkat keparahan. Untuk kerentanan kontrak pintar, temuan kritis dapat menerima antara $50.000 dan $5 juta, sementara masalah dengan tingkat keparahan tinggi dapat memperoleh hingga $500.000. Kerentanan terkait web menawarkan pembayaran maksimum yang lebih rendah, dengan masalah kritis mencapai hingga $250.000. Tingkat keparahan ditentukan berdasarkan kerangka kerja standar yang mempertimbangkan dampak dan kemungkinan.

Beberapa fitur teknis diharapkan menarik peneliti keamanan. Kontrak pertukaran yang lebih baru di platform menggunakan optimisasi assembly tingkat rendah untuk proses seperti hashing dan penanganan acara, yang dapat menimbulkan risiko yang tidak biasanya ada dalam kode tingkat tinggi. Sistem verifikasi tanda tangan mendukung berbagai jenis validasi, masing-masing berinteraksi dengan mekanisme nonce yang dirancang untuk mencegah serangan replay, menciptakan kemungkinan kasus tepi.

Sistem jaminan menambah kompleksitas lebih jauh dengan mengubah stablecoin yang disetor pengguna menjadi token internal melalui kontrak yang dapat diupgrade, yang kemudian berinteraksi dengan kerangka kerja token kondisional untuk mengelola posisi. Lapisan adaptor tambahan digunakan untuk pasar dengan banyak hasil, meningkatkan jumlah titik kerentanan potensial. Fungsi oracle ditangani melalui UMA’s Optimistic Oracle, dengan kontrak adaptor yang menghubungkan hasil oracle ke penyelesaian pasar juga termasuk dalam cakupan.

Agar memenuhi syarat untuk hadiah tingkat lebih tinggi, pengajuan harus menyertakan demonstrasi proof-of-concept yang rinci. Laporan kontrak pintar memerlukan pengujian yang dapat direproduksi di lingkungan Polygon lokal, sementara kerentanan web harus menyertakan langkah replikasi yang jelas dan bukti pendukung. Semua laporan diajukan melalui Cantina, dengan dorongan untuk pengungkapan cepat.

Program ini menyoroti arsitektur kompleks Polymarket dan aktivitas keuangan yang signifikan, menempatkannya sebagai target bernilai tinggi untuk penelitian keamanan.