「ForesightNews」Polygon zkEVM 已修复阻碍 L1 资产桥接至 L2 的漏洞，没有资金面临风险

「ForesightNews」据ForesightNews报道，Scroll区块链安全研究员iczc推测，在Polygonzkevm中发现了一个漏洞，并从Web3漏洞赏金平台immunefil2获得了漏洞赏金。从L1桥到PolygonzkEVM(L2)的资产无法在L2中正确认领，从而阻碍了L1到L2的资产迁移。iczc处理认领交易（claimtx）根据预执行结果的代码逻辑，恶意攻击者可以将Gas费设置为非零，绕过认领交易「isReverted」通过发送大量低成本的claim，预执行检查可以攻击定序器和验证器，从而增加计算费用。此外，执行后不会立即从池中删除交易。状态从「待定」更新为「选定」，并继续存在于PostgreSQL数据库中。目前，只有一个可信的定序器可以从交易池中获得交易并执行它们。因此，另一个漏洞是通过发送失败的交易来恶意标记任何存款数量。这将导致拒绝正确使用存款数量的索赔交易，因为存款数量已经被使用。这使得新用户无法使用L2网络。PolygonzkEVM团队通过删除认领交易的特定gas逻辑来修复这一漏洞，没有资金面临风险。