5月29日TuoniaoX.com信息，Scroll 区块链安全研究员 iczc 发推文称，在 Polygon zkEVM 中发现一个漏洞，并得到来源于 Web3 漏洞悬赏金服务平台 Immunefi L2 漏洞悬赏金。该漏洞造成从 L1 桥接模式至 Polygon zkEVM（L2）的财产不能在 L2 中恰当认领，进而限制了 L1 至 L2 的财产转移。 iczc 在对待认领交易（claim tx）预执行过程的代码逻辑过程中发现，黑客攻击者能通过将 Gas 费设为非零来绕开对认领交易的「isReverted」预执行查验，使之能通过推送很多低成本 claim 对定序器和验证器开展 DoS 进攻，从而增加测算花销。除此之外，交易不能在执行后马上从池里删掉。情况从「未确定」升级为「选中」，并持续存在 PostgreSQL 数据库当中。现阶段，只有一个可靠的定序器可以从交易池里获得交易并执行他们。因而，另一个漏洞是由推送一个不成功的交易来故意标识一切存款数。这会导致规范使用存款数字的 认领交易被拒，由于存款数早已被应用。这也使得新客户不能使用 L2 互联网。Polygon zkEVM 精英团队根据删掉认领交易的特殊 gas 逻辑性，处理了这一漏洞，没有资本遭遇风险性。

转载：驼鸟区块链