Polymarket 在 Cantina 推出漏洞賞金計劃，獎勵最高達 500 萬美元

簡要概述

Polymarket 在 Cantina 主辦的漏洞獎勵計劃中，最高提供 500 萬美元獎金，針對其基於 Polygon 平台的智能合約、網絡系統、預言機和抵押基礎設施的漏洞。

預言市場平台 Polymarket 與 Web3 安全平台 Cantina 合作推出漏洞獎勵計劃，最高獎勵金額達 $5 百萬美元。該計劃針對平台整體基礎設施中的漏洞，包括智能合約、抵押系統、預言機整合以及其網絡應用。

該平台以允許用戶對選舉、央行決策和重大體育賽事等事件進行真金白銀投注而聞名，在 2024 年美國選舉周期期間，交易量已達數十億美元。其合約運行於 Polygon 的股權證明（Proof-of-Stake）網絡，並結合多種結算途徑、數種簽名驗證方法，以及一個將穩定幣與內部代幣橋接的系統。

該計劃分為兩個主要範疇。第一範疇專注於交易與結算基礎設施，包括 18 個智能合約，負責交易執行、手續費處理、抵押管理、預言機決議以及錢包部署。亦涵蓋與 Gnosis 條件代幣框架的整合，但不包括該框架內的核心問題。第二範疇則針對網絡平台的漏洞，包括遠程代碼執行、資料外洩、子域名接管（涉及錢包交互）以及惡意交易注入等關鍵風險。

獎勵結構與嚴重性分類

獎勵依嚴重性而定。智能合約漏洞的嚴重問題，最高可獲得 50,000 美元至 $5 百萬美元的獎金，而高嚴重性問題最高可得 50 萬美元。與網絡相關的漏洞則提供較低的最高獎金，嚴重問題最高可達 25 萬美元。嚴重性等級依據一套標準化框架，考量影響範圍與可能性。

多項技術特性預期吸引安全研究人員。平台較新的交易合約使用低階組合語言（assembly）進行哈希與事件處理等優化，可能引入在高階語言中較少見的風險。簽名驗證系統支持多種驗證類型，每種驗證方式都與一個用於防止重放攻擊的 nonce 機制互動，可能產生邊緣案例。

抵押系統進一步增加複雜度，將用戶存入的穩定幣轉換為內部代幣，透過可升級合約進行，並與條件代幣框架互動以管理持倉。多結果市場使用的適配器層也增加了潛在漏洞點數。預言機功能由 UMA 的樂觀預言機（Optimistic Oracle）處理，連結預言機結果與市場結算的適配器合約亦在範圍內。

為了獲得較高層級的獎勵，提交內容必須包含詳細的概念驗證（proof-of-concept）。智能合約漏洞報告需在本地 Polygon 環境中提供可重現的測試，而網絡漏洞則需包含明確的重現步驟與證據。所有報告均通過 Cantina 提交，鼓勵及時披露。

該計劃凸顯 Polymarket 複雜的架構與龐大的金融活動，使其成為安全研究的重要高價標的。