Pwn2Own 2024黑客大赛第一天就创下了破纪录的成绩，参赛者揭露了特斯拉汽车、流行浏览器和操作系统中的关键漏洞——这突显了保护我们技术的持续挑战以及错误赏金计划的重要性。

Pwn2Own 2024是由趋势科技零日计划在温哥华举办的黑客竞赛，参与者通过成功攻击特斯拉汽车、浏览器以及Linux和Windows系统，在第一天就获得了超过70万美元的收入。

法国网络安全公司Synacktiv的黑客通过针对具有CAN总线控制的特斯拉ECU的整数溢出漏洞赚取了20万美元，并赢得了一辆新的特斯拉Model 3。值得注意的是，这是本次比赛中唯一针对特斯拉汽车的黑客尝试。

然而，这并不是Synacktiv第一次在Pwn2Own中占据主导地位——他们之前在Pwn2Own Automotive 2024中赢得了一辆汽车。

虽然该漏洞的具体细节尚未公开，但根据允许供应商修补的Pwn2Own规则，竞赛组织者确认使用了单个整数溢出漏洞。该漏洞使团队能够控制特斯拉的CAN总线，这是汽车内的一个重要通信系统。Synacktiv利用具有车辆(VEH)CAN总线控制功能的Tesla ECU，利用单个整数溢出缺陷，确保了他们在Pwn2Own比赛中的第二次胜利。

在Pwn2Own竞赛的第一天，参与者因报告19个独特的零日漏洞而获得了ZDI的732500美元奖励。这是奖励的细节。

独立白帽黑客Manfred Paul因利用整数下溢漏洞在Apple Safari上远程执行代码以及利用同一浏览器中的漏洞进行PAC绕过而获得了102500美元的奖金。Paul还在第二轮比赛中利用罕见的CWE-1284漏洞在Chrome和Edge浏览器上执行了双击攻击。

韩国团队Theori通过结合未初始化的变量错误、释放后使用(UAF)漏洞和基于堆的缓冲区溢出来逃逸VMware Workstation并在Windows操作系统上作为系统执行代码，赚取了130000美元。

Oracle VirtualBox成为REverse Tactics研究人员的目标，获得了90000美元，两名研究人员因各自的Oracle VirtualBox漏洞获得了20000美元。

其他Pwn2Own参与者通过Chrome和Edge、Safari、Adobe Reader、Windows 11本地权限提升以及两个Ubuntu本地权限提升漏洞获得了奖励。

Seunghyun Lee、AbdulAziz Hariri和Devcore研究团队成功利用了Google Chrome、Adobe Reader和Windows 11的漏洞，分别为他们赚取了60000美元、50000美元和30000美元。Lee成功地在Google Chrome上执行了漏洞利用，Hariri完成了代码执行攻击，Devcore研究团队成功地执行了本地权限升级（LPE）攻击。

第二天，参与者将尝试破解各种软件，包括VMware Workstation、Oracle VirtualBox、Firefox、Chrome、Edge、Ubuntu、Windows 11和Docker Desktop。为期三天的活动将提供总计130万美元的现金和奖品。