PolymarketはCantinaでバグバウンティプログラムを開始、報酬は最大500万ドル

概要

Polymarketは、Polygonベースのプラットフォーム上で、スマートコントラクト、ウェブシステム、オラクル、担保インフラストラクチャの脆弱性を対象とした最大500万ドルのバグバウンティを提供する、Cantina主催のバグバウンティプログラムを開始しました。

予測市場プラットフォームのPolymarketは、Web3セキュリティプラットフォームのCantinaと提携し、最大$5 百万ドルの報酬を提供するバグバウンティプログラムを導入しました。この取り組みは、スマートコントラクト、担保システム、オラクル統合、ウェブアプリケーションを含むプラットフォームの全インフラストラクチャにわたる脆弱性を対象としています。

このプラットフォームは、選挙、中央銀行の決定、主要なスポーツ結果などのイベントに対して実際の資金を賭けることを可能にし、2024年米国選挙サイクル中に数十億ドルの取引量を処理してきました。契約はPolygonのProof-of-Stakeネットワーク上で動作し、複数の決済経路、いくつかの署名検証方法、ステーブルコインと内部トークンを橋渡しするシステムを組み込んでいます。

このプログラムは大きく二つのエリアに分かれています。第一は取引と決済インフラストラクチャに焦点を当てており、取引実行、手数料処理、担保管理、オラクルによる解決、ウォレット展開を担当する18のスマートコントラクト群を含みます。また、Gnosisの条件付きトークンフレームワークとの連携もカバーしていますが、そのフレームワーク内のコア問題は除外されています。第二はウェブプラットフォーム内の脆弱性に関するもので、リモートコード実行、データ漏洩、サブドメインの乗っ取り（ウォレットとの連携を含む）、悪意のあるトランザクションの注入といった重大なリスクを対象としています。

インセンティブ構造と重大度分類

報酬は重大度に応じて設定されています。スマートコントラクトの脆弱性については、クリティカルな発見は5万ドルから$5 百万ドルまで受け取れる可能性があり、高重大度の問題は最大50万ドルまで獲得可能です。ウェブ関連の脆弱性はより低い最大支払い額となり、クリティカルな問題でも最大25万ドルに設定されています。重大度レベルは、影響と発生確率の両面を考慮した標準化されたフレームワークに基づいて決定されます。

いくつかの技術的特徴は、セキュリティ研究者の関心を引くと予想されます。プラットフォームの新しい取引契約は、ハッシュ化やイベント処理などの低レベルのアセンブリ最適化を使用しており、これにより高レベルのコードでは通常見られないリスクが生じる可能性があります。署名検証システムは複数の検証タイプをサポートし、それぞれがリプレイ攻撃を防ぐためのノンスメカニズムと連動していますが、これがエッジケースを生む可能性もあります。

担保システムは、ユーザーが預けたステーブルコインをアップグレード可能なコントラクトを通じて内部トークンに変換し、その後条件付きトークンフレームワークと連携してポジションを管理します。追加のアダプターレイヤーは、多結果市場向けに使用されており、潜在的な脆弱性ポイントの数を増やしています。オラクル機能はUMAのオプティミスティック・オラクルを通じて処理されており、オラクル結果を市場決済にリンクさせるアダプターコントラクトも対象に含まれています。

より高い報酬を得るには、詳細な証明概念のデモを提出する必要があります。スマートコントラクトのレポートは、ローカルのPolygon環境で再現可能なテストを含む必要があり、ウェブの脆弱性は明確な再現手順と証拠を含む必要があります。すべてのレポートはCantinaを通じて提出され、迅速な公開が奨励されています。

このプログラムは、Polymarketの複雑なアーキテクチャと重要な金融活動を強調し、セキュリティ研究にとって高価値なターゲットとして位置付けられています。