Polymarket lanza programa de recompensas por errores en Cantina con recompensas de hasta 5 millones de dólares

En resumen

Polymarket lanza una oferta de recompensas por errores alojada en Cantina, con un máximo de 5 millones de dólares, dirigida a vulnerabilidades en contratos inteligentes, sistemas web, oráculos e infraestructura de colaterales en su plataforma basada en Polygon.

La plataforma de mercado de predicciones Polymarket presentó un programa de recompensas por errores en colaboración con la plataforma de seguridad Web3 Cantina, ofreciendo recompensas de hasta $5 millones. La iniciativa apunta a vulnerabilidades en toda la infraestructura de la plataforma, incluyendo contratos inteligentes, sistemas de colaterales, integraciones con oráculos y su aplicación web.

La plataforma, conocida por permitir a los usuarios realizar apuestas con dinero real en eventos como elecciones, decisiones de bancos centrales y resultados deportivos importantes, ha procesado miles de millones de dólares en volumen de comercio, especialmente durante el ciclo electoral de Estados Unidos en 2024. Sus contratos operan en la red Polygon Proof-of-Stake e incorporan múltiples vías de liquidación, varios métodos de verificación de firmas y un sistema que conecta stablecoins con un token interno.

El programa se divide en dos áreas principales. La primera se centra en la infraestructura de intercambio y liquidación, que incluye un conjunto de 18 contratos inteligentes responsables de la ejecución de operaciones, manejo de tarifas, gestión de colaterales, resolución basada en oráculos y despliegue de carteras. También cubre integraciones con el marco de Tokens Condicionales de Gnosis, aunque se excluyen problemas centrales dentro de ese marco. La segunda área aborda vulnerabilidades en la plataforma web, incluyendo riesgos críticos como ejecución remota de código, brechas de datos, tomas de subdominios que involucran interacción con carteras y inyección maliciosa de transacciones.

Estructura de incentivos y clasificación de severidad

Las recompensas están estructuradas según la severidad. Para vulnerabilidades en contratos inteligentes, hallazgos críticos pueden recibir entre 50,000 dólares y $5 millones, mientras que problemas de alta severidad pueden ganar hasta 500,000 dólares. Las vulnerabilidades relacionadas con la web ofrecen pagos máximos menores, alcanzando hasta 250,000 dólares en casos críticos. Los niveles de severidad se determinan según un marco estandarizado que considera tanto el impacto como la probabilidad.

Varias características técnicas se esperan que atraigan a los investigadores de seguridad. Los contratos de intercambio más nuevos de la plataforma utilizan optimizaciones en bajo nivel en ensamblador para procesos como hashing y manejo de eventos, lo que puede introducir riesgos que normalmente no están presentes en código de nivel superior. El sistema de verificación de firmas soporta múltiples tipos de validación, cada uno interactuando con un mecanismo de nonce diseñado para prevenir ataques de repetición, creando posibles casos límite.

El sistema de colaterales añade mayor complejidad al convertir stablecoins depositados por los usuarios en un token interno mediante un contrato actualizable, que luego interactúa con un marco de tokens condicionales para gestionar posiciones. Se utilizan capas adicionales de adaptadores para mercados de múltiples resultados, aumentando el número de puntos potenciales de vulnerabilidad. La funcionalidad del oráculo se maneja a través del Oracle Optimista de UMA, incluyendo contratos adaptadores que vinculan los resultados del oráculo con la liquidación del mercado, también en alcance.

Para calificar para recompensas de nivel superior, las presentaciones deben incluir demostraciones detalladas de prueba de concepto. Los informes de contratos inteligentes requieren pruebas reproducibles en un entorno local de Polygon, mientras que las vulnerabilidades web deben incluir pasos claros de replicación y evidencia de soporte. Todos los informes se envían a través de Cantina, fomentando una divulgación rápida.

El programa destaca la arquitectura compleja de Polymarket y su actividad financiera significativa, posicionándola como un objetivo de alto valor para la investigación en seguridad.