Pwn2Ownเป็นการ แข่งขัน แฮ็กคอมพิวเตอร์ซึ่งมักจัดขึ้นควบคู่กับการประชุมด้านความปลอดภัย (เดิมคือการประชุมด้านความปลอดภัย CanSecWest ^{) [ 1 ] จัดขึ้นครั้งแรกในเดือนเมษายน พ.ศ. 2550 ที่แวนคูเวอร์ [} 2 ] ^{ปัจจุบันการแข่งขัน}จัดขึ้นปี^{ละสอง}ถึงสามครั้ง^{[ 3 ]}ครั้งล่าสุดคือในเดือนมีนาคม พ.ศ. 2567 ^{[ 4 ]}ผู้เข้าแข่งขันจะต้องใช้ ช่องโหว่ ของซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย^{[ 5 ]}และอุปกรณ์เคลื่อนที่ที่มี ช่องโหว่ที่ ไม่เคยรู้จักมาก่อน^{[ 6 ]}ผู้ชนะการแข่งขันจะได้รับอุปกรณ์ที่พวกเขาใช้ช่องโหว่และเงินรางวัล^{[ 7 ]}การแข่งขัน Pwn2Own มีจุดประสงค์เพื่อแสดงให้เห็นถึงช่องโหว่ของอุปกรณ์และซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย พร้อมทั้งยังเป็นจุดตรวจสอบความคืบหน้าด้านความปลอดภัยนับตั้งแต่ปีที่แล้วด้วย

การแข่งขันครั้งแรกในปี 2550 ^{[ 1 ]}ได้รับการคิดค้นและพัฒนาโดย Dragos Ruiu เพื่อตอบสนองต่อความไม่พอใจของเขาต่อการที่Apple Inc.ไม่ตอบสนอง^{[ 8 ]}ต่อMonth of Apple BugsและMonth of Kernel Bugs [ ^{9 ]}รวมถึงโฆษณาทางโทรทัศน์ของ Apple ที่ลดทอนความสำคัญของความปลอดภัยที่สร้างขึ้นในระบบปฏิบัติการ Windows ที่เป็นคู่แข่ง^[ 10 ] ^{ในขณะนั้น}มีความเชื่อกันอย่างแพร่หลายว่า แม้จะมีการแสดงช่องโหว่ในผลิตภัณฑ์ของ Apple ต่อสาธารณะ แต่OS Xก็มีความปลอดภัยมากกว่าคู่แข่งรายอื่น ๆ อย่างมาก^{[ 8 ]}ในวันที่ 20 มีนาคม ประมาณสามสัปดาห์ก่อนงาน CanSecWest ในปีนั้น Ruiu ได้ประกาศการแข่งขัน Pwn2Own ให้กับนักวิจัยด้านความปลอดภัยในรายชื่อผู้รับจดหมาย DailyDave ^{[ 1 ]} การแข่งขันนี้จะรวมถึงMacBook Pro สองเครื่องที่เขาจะวางไว้บนพื้นห้องประชุม โดย เชื่อมต่อกับ จุดเชื่อมต่อไร้สายของตัวเองผู้เข้าร่วมการประชุมคนใดก็ตามที่สามารถเชื่อมต่อกับจุดเชื่อมต่อไร้สายนี้และใช้ประโยชน์จากอุปกรณ์ใดอุปกรณ์หนึ่งได้ จะสามารถออกจากการประชุมพร้อมกับแล็ปท็อปเครื่องนั้นได้ โดยไม่มีรางวัลเป็นเงิน^{[ 8 ]}ชื่อ "Pwn2Own" มาจากข้อเท็จจริงที่ว่าผู้เข้าแข่งขันจะต้อง " pwn " หรือแฮ็กอุปกรณ์เพื่อที่จะ "เป็นเจ้าของ" หรือชนะ

ในวันแรกของการประชุมที่แวนคูเวอร์ รัฐบริติชโคลัมเบียรุยอูได้ขอให้เทอร์รี ฟอร์สลอฟ จากZero Day Initiative (ZDI) เข้าร่วมการแข่งขัน^{[ 5 ]} ZDI มีโปรแกรมที่ซื้อการโจมตีแบบ Zero-dayรายงานไปยังผู้จำหน่ายที่ได้รับผลกระทบ และแปลงเป็นลายเซ็นสำหรับระบบตรวจจับการบุกรุก เครือข่ายของตนเอง ซึ่งเพิ่มประสิทธิภาพ ช่องโหว่ที่ขายให้กับ ZDI จะถูกเปิดเผยต่อสาธารณะก็ต่อเมื่อผู้จำหน่ายที่ได้รับผลกระทบได้ออกแพทช์แก้ไขแล้ว^{[ 11 ]}ฟอร์สลอฟตกลงให้ ZDI เสนอซื้อช่องโหว่ใดๆ ที่ใช้ในการแข่งขันในราคาคงที่ 10,000 ดอลลาร์^{[ 5 ]} การแข่งขันครั้งแรกได้เปิดเผยข้อบกพร่องของ QuickTimeที่มีชื่อเสียงซึ่งถูกเปิดเผยต่อ Apple ในวันที่ 23 เมษายน และได้รับการแก้ไขในช่วงต้นเดือนพฤษภาคม^{[ 5 ]}

ในปี 2551 ขอบเขตของการแข่งขัน Pwn2Own ได้ขยายออกไป^{[ 12 ]}เป้าหมายรวมถึงแล็ปท็อป 3 เครื่องที่ใช้ระบบปฏิบัติการWindows Vista , OS XหรือUbuntu Linuxที่ ติดตั้งตามค่าเริ่มต้น ^{[ 13 ]}อุปกรณ์มือถือถูกเพิ่มเข้ามาในปี 2552 ^{[ 6 ]}

ในปี 2012 กฎได้ถูกเปลี่ยนเป็นการแข่งขันแบบชิงธงโดยใช้ระบบคะแนน^{[ 14 ]}และChromeก็ถูกเจาะระบบได้สำเร็จเป็นครั้งแรกโดยVUPEN ผู้ เข้า แข่งขันประจำ ^{[ 15 ]}หลังจากถอนตัวจากการแข่งขันในปีนั้นเนื่องจากกฎการเปิดเผยข้อมูลใหม่^{[ 16 ]}ในปี 2013 Googleกลับมาเป็นผู้สนับสนุนอีกครั้ง และกฎได้ถูกเปลี่ยนให้ต้องเปิดเผยการเจาะระบบและเทคนิคที่ใช้ทั้งหมด^{[ 17 ]}ในปีนั้น (2013) นักวิจัยเพียงคนเดียวสามารถแฮ็ก Chrome, FirefoxและInternet Explorer ได้สำเร็จ ซึ่งเป็นการแฮ็กสามระบบพร้อมกัน^{[ 18 ]} Google ยุติการเป็นผู้สนับสนุน Pwn2Own ในปี 2015 ^{[ 19 ]}

ในปี 2015 เว็บเบราว์เซอร์ทุกตัวที่ทดสอบถูกแฮ็กสำเร็จและได้รับรางวัลทั้งหมด รวมเป็นเงิน 557,500 ดอลลาร์สหรัฐ นอกจากนี้ยังมีการมอบรางวัลอื่นๆ เช่น แล็ปท็อป ให้แก่นักวิจัยที่ชนะอีกด้วย^{[ 20 ]}ในปี 2018 การประชุมมีขนาดเล็กลงมากและได้รับการสนับสนุนหลักจากMicrosoftหลังจากที่จีนสั่งห้ามนักวิจัยด้านความปลอดภัยของตนเข้าร่วมการแข่งขัน^{[ 21 ]}

Pwn2Own ยังคงได้รับการสนับสนุนจากZero Day Initiative ของTrend Micro โดย ZDI จะรายงานช่องโหว่ให้กับผู้จำหน่ายก่อนที่จะเปิดเผยการแฮ็กสู่สาธารณะ ^{[ 3 ]} "หนึ่งในการแข่งขันแฮ็กที่ใหญ่ที่สุดในโลก" ตามที่TechCrunch กล่าว [ ^{22 ]}ณ ปี 2019 การแข่งขันยังคงจัดขึ้นหลายครั้งต่อปี^{[ 7 ] Pwn2Own Tokyo จัดขึ้น ระหว่าง}วันที่ 6 ถึง 7 พฤศจิกายนในโตเกียว ประเทศญี่ปุ่นและคาดว่าจะมีการมอบเงินสดและรางวัลมูลค่า 750,000 ดอลลาร์สหรัฐ^{[ 22 ]}การแฮ็กมุ่งเน้นไปที่เบราว์เซอร์ เครื่องเสมือน คอมพิวเตอร์ และโทรศัพท์^{[ 3 ]}ในปี 2019 การแข่งขันได้เพิ่มรถยนต์เป็นครั้งแรก โดยมีเงินรางวัล 900,000 ดอลลาร์สหรัฐสำหรับการแฮ็กที่ใช้ประโยชน์จากซอฟต์แวร์ของ Tesla ^{[ 3 ]}ในปี 2019 การแข่งขันได้เพิ่มระบบควบคุมอุตสาหกรรม^{[ 23 ]}งาน Pwn2Own ปี 2025 จัดขึ้นที่OffensiveConในเบอร์ลิน เช่นเดียวกับงานในปี 2026 ^{[ 24 ]}

ผู้ชนะการแข่งขันจะได้รับอุปกรณ์ที่พวกเขาใช้ประโยชน์และเงินรางวัล^{[ 7 ]}ผู้ชนะยังได้รับแจ็คเก็ต "Masters" เพื่อเฉลิมฉลองปีที่พวกเขาชนะอีกด้วย

รายชื่อแฮ็กเกอร์ที่น่าสนใจต่อไปนี้ยังไม่ครบถ้วน

การแข่งขันจัดขึ้นตั้งแต่วันพฤหัสบดีที่ 18 เมษายน ถึงวันเสาร์ที่ 20 เมษายน พ.ศ. 2550 ในแวนคูเวอร์^{[ 2 ]}การแข่งขันครั้งแรกมีจุดประสงค์เพื่อเน้นย้ำถึงความไม่ปลอดภัยของ ระบบปฏิบัติการ Mac OS X ของ Apple เนื่องจากในขณะนั้นมีความเชื่อกันอย่างแพร่หลายว่า OS X มีความปลอดภัยมากกว่าคู่แข่ง^{[ 8 ]}เกี่ยวกับกฎกติกา มีเพียงแล็ปท็อป MacBook Pro สองเครื่องเท่านั้น คือขนาด 13 นิ้วและ 15 นิ้ว ที่ถูกวางไว้ในพื้นที่การประชุมที่ CanSecWest และเชื่อมต่อกับเครือข่ายไร้สายแยกต่างหาก อนุญาตให้ใช้การโจมตีบางประเภทเท่านั้น และข้อจำกัดเหล่านี้จะค่อยๆ ผ่อนคลายลงตลอดสามวันของการประชุม^{[ 8 ]}วันแรกอนุญาตให้โจมตีจากระยะไกลเท่านั้น วันที่สองรวมการโจมตีผ่านเบราว์เซอร์ ในขณะที่วันที่สามอนุญาตให้โจมตีในพื้นที่ โดยผู้เข้าแข่งขันสามารถเชื่อมต่อด้วยUSBหรือบลูทูธได้ เพื่อที่จะชนะ MacBook Pro ขนาด 15 นิ้ว ผู้เข้าแข่งขันจะต้องยกระดับสิทธิ์ของตนไปสู่ระดับrootหลังจากเข้าถึงด้วยการโจมตีครั้งแรก

แล็ปท็อปไม่ได้ถูกแฮ็กในวันแรก หลังจากที่ ZDI ประกาศรางวัล 10,000 ดอลลาร์ เชน แมคออลีย์ โทรหาอดีตเพื่อนร่วมงาน ดีโน ได โซวี ในนิวยอร์กและชักชวนให้เขาเข้าร่วมการแข่งขันในวันที่สอง^{[ 2 ]}ในคืนหนึ่ง ได โซวี ค้นพบและใช้ประโยชน์จากช่องโหว่ที่ไม่เคยมีใครรู้มาก่อนใน ไลบรารี QuickTimeที่โหลดโดย Safari ^{[ 25 ]}เช้าวันถัดมา ได โซวี ส่งโค้ดโจมตีของเขาไปยังแมคออลีย์^{[ 59 ]}ซึ่งแมคออลีย์นำไปไว้บนเว็บไซต์และส่งลิงก์ไปยังผู้จัดงานทางอีเมล เมื่อคลิกลิงก์ แมคออลีย์จะสามารถควบคุมแล็ปท็อปได้ ทำให้ได โซวี ชนะการแข่งขันโดยปริยาย และมอบ MacBook Pro ขนาด 15 นิ้วให้แมคออลีย์^{[ 60 ]}ได โซวี ขายช่องโหว่นี้ให้กับ ZDI แยกต่างหากเพื่อแลกกับรางวัล 10,000 ดอลลาร์^{[ 26 ]}

Pwn2Own 2008 จัดขึ้นระหว่างวันพฤหัสบดีที่ 26 มีนาคม ถึงวันเสาร์ที่ 28 มีนาคม พ.ศ. 2551 ^{[ 13 ]}หลังจากประสบความสำเร็จในการแข่งขันในปี 2550 ขอบเขตของการแข่งขันได้ขยายออกไปเพื่อรวมระบบปฏิบัติการและเบราว์เซอร์ที่หลากหลายมากขึ้น การแข่งขันจะแสดงให้เห็นถึงความไม่ปลอดภัยที่แพร่หลายของซอฟต์แวร์ทั้งหมดที่ผู้บริโภคใช้กันอย่างแพร่หลาย^{[ 12 ]} Dragos ได้ปรับปรุงการแข่งขันด้วยความช่วยเหลือจากคณะผู้เชี่ยวชาญในอุตสาหกรรมจำนวนมาก และการแข่งขันนี้ดำเนินการโดย ZDI ซึ่งจะเสนอซื้อช่องโหว่อีกครั้งหลังจากมีการสาธิต^{[ 13 ]}เช่นเดียวกับช่องโหว่ทั้งหมดที่ ZDI ซื้อ รายละเอียดของช่องโหว่ที่ใช้ใน Pwn2Own จะถูกส่งให้กับผู้จำหน่ายที่ได้รับผลกระทบ และรายละเอียดสาธารณะจะถูกระงับไว้จนกว่าจะมีการออกแพทช์^{[ 11 ]}ผู้เข้าแข่งขันทุกคนที่สามารถสาธิตการโจมตีได้สำเร็จในการแข่งขัน สามารถขายช่องโหว่ของตนให้กับ ZDI เพื่อรับรางวัล 20,000 ดอลลาร์ในวันแรก 10,000 ดอลลาร์ในวันที่สอง และ 5,000 ดอลลาร์ในวันที่สาม^{[ 12 ]} เช่นเดียวกับการแข่งขันในปีก่อนๆ อนุญาตให้ใช้การโจมตีบางประเภทเท่านั้นในแต่ละวัน เป้าหมายได้แก่ แล็ปท็อปสามเครื่องที่ใช้ระบบปฏิบัติการWindows Vista Ultimate SP1 , Mac OS X 10.5.2หรือUbuntu Linux 7.10ที่ ติดตั้งตามค่าเริ่มต้น ^{[ 13 ]}วันแรกเป็นการโจมตีระยะไกลเท่านั้น ผู้เข้าแข่งขันต้องเข้าร่วมเครือข่ายเดียวกันกับแล็ปท็อปเป้าหมายและทำการโจมตีโดยไม่ต้องมีการโต้ตอบกับผู้ใช้และไม่ต้องตรวจสอบสิทธิ์ วันที่สองมีการโจมตีเบราว์เซอร์และโปรแกรมส่งข้อความโต้ตอบแบบทันทีรวมถึงการโจมตีเว็บไซต์ที่เป็นอันตรายโดยส่งลิงก์ไปยังผู้จัดงานเพื่อให้คลิก^{[ 12 ]}วันที่สามมีการโจมตีแอปพลิเคชันไคลเอ็นต์ของบุคคลที่สาม ผู้เข้าแข่งขันสามารถกำหนด เป้าหมายซอฟต์แวร์บุคคลที่สามที่เป็นที่นิยม^{[ 12 ]}เช่น เบราว์เซอร์Adobe Flash Java Apple Mail iChat Skype AOLและMicrosoft Silverlight ^{[ 13 ]}

แล็ปท็อปที่ใช้ระบบปฏิบัติการ OS X ถูกโจมตีในวันที่สองของการแข่งขันด้วยช่องโหว่สำหรับเบราว์เซอร์ Safari ซึ่งเขียนร่วมกันโดย^Charlie Miller [ ^{28 ]} Jake Honoroff และ Mark Daniel จาก Independent Security Evaluators ช่องโหว่นี้มุ่งเป้าไปที่ส่วนประกอบย่อยโอเพนซอร์สของเบราว์เซอร์ Safari ^{[ 27 ] [ 61 ]}แล็ปท็อปที่ใช้ระบบปฏิบัติการ Windows Vista SP1 ถูกโจมตีในวันที่สามของการแข่งขันด้วยช่องโหว่สำหรับAdobe Flashซึ่งเขียนร่วมกันโดย Shane Macaulay, Alexander Sotirovและ Derek Callaway ^{[ 29 ] [ 62 ]} หลังจากการแข่งขัน Adobe เปิดเผยว่าพวกเขาได้ค้นพบช่องโหว่เดียวกันนี้ภายในองค์กรและกำลังพัฒนาแพทช์อยู่ในช่วงเวลาของการแข่งขัน Pwn2Own ^{[ 63 ]}แล็ปท็อปที่ใช้Ubuntuไม่ถูกโจมตี

Pwn2Own 2009 จัดขึ้นในช่วงสามวันของงาน CanSecWest ตั้งแต่วันพฤหัสบดีที่ 18 มีนาคม ถึงวันเสาร์ที่ 20 มีนาคม 2552 หลังจากประสบความสำเร็จในการโจมตีเว็บเบราว์เซอร์มากกว่าซอฟต์แวร์ประเภทอื่น ๆ ในปี 2550 Pwn2Own ครั้งที่สามจึงมุ่งเน้นไปที่เบราว์เซอร์ยอดนิยมที่ใช้ในระบบปฏิบัติการเดสก์ท็อปสำหรับผู้บริโภค นอกจากนี้ยังเพิ่มหมวดหมู่ของอุปกรณ์เคลื่อนที่ ซึ่งผู้เข้าแข่งขันจะต้องทำการแฮ็กผ่านช่องทางการโจมตีระยะไกลหลายวิธี รวมถึงอีเมล ข้อความ SMS และการท่องเว็บไซต์^{[ 6 ] [ 64 ]} ผู้เข้าแข่งขันทุกคนที่แสดงการเจาะระบบได้สำเร็จในการแข่งขันจะได้รับรางวัลสำหรับช่องโหว่ที่ค้นพบโดย ZDI โดยได้รับรางวัล 5,000 ดอลลาร์สำหรับช่องโหว่เบราว์เซอร์ และ 10,000 ดอลลาร์สำหรับช่องโหว่อุปกรณ์เคลื่อนที่^{[ 65 ]}

เป้าหมายของเว็บเบราว์เซอร์ ได้แก่Internet Explorer 8 , Firefox และChromeที่ติดตั้งบนSony Vaioที่ใช้Windows 7 Beta และSafariและFirefoxที่ติดตั้งบน MacBook ที่ใช้ Mac OS X เบราว์เซอร์ทั้งหมดได้รับการแก้ไขอย่างสมบูรณ์และอยู่ในการตั้งค่าเริ่มต้นในวันแรกของการแข่งขัน เช่นเดียวกับปีที่ผ่านมาพื้นผิวการโจมตีของการแข่งขันขยายออกไปตลอดสามวัน^{[ 65 ]}ในวันที่ 1 ผู้เข้าแข่งขันต้องกำหนดเป้าหมายไปที่ฟังก์ชันการทำงานในเบราว์เซอร์เริ่มต้นโดยไม่สามารถเข้าถึงปลั๊กอินใดๆ ในวันที่ 2 มีการรวม Adobe Flash, Java, Microsoft .NET Frameworkและ QuickTime เข้ามา ในวันที่ 3 มีการรวมปลั๊กอินของบุคคลที่สามยอดนิยมอื่นๆ เช่นAdobe Readerเข้ามา อนุญาตให้มีผู้ชนะหลายคนต่อเป้าหมาย แต่ผู้เข้าแข่งขันคนแรกที่สามารถเจาะระบบแล็ปท็อปแต่ละเครื่องได้เท่านั้นที่จะได้รับรางวัล เป้าหมายของอุปกรณ์เคลื่อนที่ ได้แก่ โทรศัพท์ BlackBerry , Android , Apple iPhone 2.0 ( T-Mobile G1 ), Symbian (Nokia N95 ) และWindows Mobile ( HTC Touch ) ในการตั้งค่าเริ่มต้น

เช่นเดียวกับการแข่งขันเบราว์เซอร์ พื้นที่การโจมตีที่ผู้เข้าแข่งขันสามารถเข้าถึงได้ขยายออกไปตลอดสามวัน เพื่อพิสูจน์ว่าพวกเขาสามารถเจาะระบบอุปกรณ์ได้สำเร็จ ผู้เข้าแข่งขันต้องแสดงให้เห็นว่าพวกเขาสามารถรวบรวมข้อมูลที่ละเอียดอ่อนจากอุปกรณ์เคลื่อนที่หรือก่อให้เกิดความเสียหายทางการเงินบางประเภทแก่เจ้าของอุปกรณ์เคลื่อนที่ได้^{[ 65 ]}ในวันที่ 1 อุปกรณ์สามารถรับ SMS, MMS และอีเมลได้ แต่ไม่สามารถอ่านข้อความได้ Wifi (หากเปิดใช้งานโดยค่าเริ่มต้น), Bluetooth (หากเปิดใช้งานโดยค่าเริ่มต้น) และสแต็กวิทยุก็อยู่ในขอบเขตเช่นกัน ในวันที่ 2 สามารถเปิดและอ่าน SMS, MMS และอีเมลได้ Wifi เปิดใช้งานอยู่ และ Bluetooth สามารถเปิดใช้งานและจับคู่กับชุดหูฟังที่อยู่ใกล้เคียงได้ (ไม่อนุญาตให้จับคู่เพิ่มเติม) วันที่ 3 อนุญาตให้มีการโต้ตอบกับผู้ใช้ในระดับหนึ่งกับแอปพลิเคชันเริ่มต้น อนุญาตให้มีผู้ชนะหลายคนต่ออุปกรณ์ แต่ผู้เข้าแข่งขันคนแรกที่สามารถเจาะระบบอุปกรณ์เคลื่อนที่แต่ละเครื่องได้เท่านั้นที่จะได้รับอุปกรณ์นั้น (พร้อมกับสัญญาโทรศัพท์หนึ่งปี)

จากความสนใจที่เพิ่มขึ้นในการแข่งขันในปี 2009 ZDI ได้จัดให้มีการเลือกแบบสุ่มเพื่อกำหนดว่าทีมใดจะได้ดำเนินการก่อนในแต่ละเป้าหมาย^{[ 65 ]}ผู้เข้าแข่งขันคนแรกที่ได้รับเลือกคือCharlie Millerเขาใช้ช่องโหว่ Safari บน OS X โดยไม่ต้องใช้ปลั๊กอินเบราว์เซอร์ใดๆ^{[ 30 ] [ 28 ]}ในการสัมภาษณ์หลังจากชนะการแข่งขัน Miller เน้นย้ำว่าในขณะที่เขาใช้เวลาเพียงไม่กี่นาทีในการรันช่องโหว่ของเขากับ Safari แต่เขาใช้เวลาหลายวันในการวิจัยและพัฒนาช่องโหว่ที่เขาใช้^{[ 66 ]}นักวิจัยที่ระบุชื่อเพียงว่า Nils ได้รับเลือกให้ดำเนินการต่อจาก Miller Nils ประสบความสำเร็จในการรันช่องโหว่กับ Internet Explorer 8 บน Windows 7 Beta ในการเขียนช่องโหว่นี้ Nils ต้องหลีกเลี่ยงการป้องกันการโจมตีที่ Microsoft ได้นำมาใช้ใน Internet Explorer 8 และ Windows 7 รวมถึงData Execution Protection (DEP) และAddress Space Layout Randomization (ASLR) ^{[ 31 ] [ 67 ]} Nils ยังคงพยายามกับเบราว์เซอร์อื่นๆ ต่อไป แม้ว่า Miller จะเจาะระบบ Safari บน OS X ได้แล้ว แต่ Nils ก็เจาะระบบแพลตฟอร์มนี้อีกครั้ง^{[ 32 ]}จากนั้นจึงเจาะระบบ Firefox ได้สำเร็จ^{[ 33 ]}ใกล้สิ้นสุดวันแรก Julien Tinnes และ Sami Koivu (ระยะไกล) เจาะระบบ Firefox และ Safari บน OS X ได้สำเร็จด้วยช่องโหว่ใน Java ในขณะนั้น OS X เปิดใช้งาน Java โดยค่าเริ่มต้น ซึ่งทำให้สามารถเจาะระบบแพลตฟอร์มนั้นได้อย่างน่าเชื่อถือ อย่างไรก็ตาม เนื่องจาก Tinnes ได้รายงานช่องโหว่ไปยังผู้จำหน่ายแล้ว การเข้าร่วมของเขาจึงอยู่นอกเหนือขอบเขตของกฎการแข่งขันและไม่ได้รับรางวัล^{[ 68 ]}การแข่งขันในวันต่อๆ มาไม่มีผู้เข้าร่วมเพิ่มเติม Chrome รวมถึงอุปกรณ์มือถือทั้งหมด ไม่ถูกเจาะระบบใน Pwn2Own 2009 ^{[ 69 ]}

การแข่งขันเริ่มขึ้นในวันที่ 24 มีนาคม 2010 และมีเงินรางวัลรวมทั้งสิ้น 100,000 ดอลลาร์สหรัฐ^{[ 70 ]}เก้าวันก่อนที่การแข่งขันจะเริ่มขึ้น Apple ได้ปล่อยแพทช์ 16 ตัวสำหรับWebKitและ Safari ^{[ 71 ]}สำหรับซอฟต์แวร์ที่จะใช้ประโยชน์ เงิน 40,000 ดอลลาร์สหรัฐจาก 100,000 ดอลลาร์สหรัฐถูกสงวนไว้สำหรับเว็บเบราว์เซอร์ โดยแต่ละเป้าหมายมีมูลค่า 10,000 ดอลลาร์สหรัฐ^{[ 70 ]}วันที่ 1 ประกอบด้วย Microsoft Internet Explorer 8บนWindows 7 , Mozilla Firefox 3.6บน Windows 7, Google Chrome 4บน Windows 7 และ Apple Safari 4 บนMac OS X Snow Leopardวันที่ 2 ประกอบด้วย Microsoft Internet Explorer 8 บนWindows Vista , Mozilla Firefox 3 บน Windows Vista, Google Chrome 4 บน Windows Vista และ Apple Safari 4 บน Mac OS X Snow Leopard วันที่ 3 ประกอบด้วย Microsoft Internet Explorer 8 บนWindows XP , Mozilla Firefox 3 บน Windows XP, Google Chrome 4 บน Windows XP และ Apple Safari 4 บน Mac OS X Snow Leopard เงินรางวัล 60,000 ดอลลาร์จากเงินรางวัลรวม 100,000 ดอลลาร์ถูกจัดสรรให้กับส่วนของโทรศัพท์มือถือในการแข่งขัน โดยแต่ละเป้าหมายมีมูลค่า 15,000 ดอลลาร์^{[ 70 ]}ซึ่งรวมถึง Apple iPhone 3GS , RIM BlackBerry Bold 9700 , อุปกรณ์Nokia E72 ที่ใช้ SymbianและHTC Nexus Oneที่ ใช้Android

เว็บเบราว์เซอร์ Operaถูกตัดออกจากการแข่งขันในฐานะเป้าหมาย: ทีม ZDI โต้แย้งว่า Opera มีส่วนแบ่งการตลาดต่ำ และ Chrome และ Safari ถูกรวมไว้ "เนื่องจากมีการใช้งานเป็นค่าเริ่มต้นในแพลตฟอร์มมือถือต่างๆ" อย่างไรก็ตาม เอ็นจิ้นการแสดงผลของ Opera คือPrestoซึ่งมีอยู่ในแพลตฟอร์มมือถือหลายล้านเครื่อง^{[ 72 ] [ 73 ] [ 74 ] [ 75 ]}

การโจมตีที่ประสบความสำเร็จ ได้แก่ การที่Charlie Millerแฮ็ก Safari 4 บน Mac OS X ^{[ 34 ]} Nils แฮ็ก Firefox 3.6 บน Windows 7 64 บิต^{[ 34 ]}โดยใช้ช่องโหว่การเสียหายของหน่วยความจำและหลีกเลี่ยงASLRและDEPหลังจากนั้นMozillaได้แก้ไขช่องโหว่ด้านความปลอดภัยใน Firefox 3.6.3 ^{[ 76 ]} Ralf-Philipp Weinmann และ Vincenzo Iozzo แฮ็ก iPhone 3GS โดยหลีกเลี่ยงลายเซ็นรหัสดิจิทัลที่ใช้ใน iPhone เพื่อตรวจสอบว่ารหัสในหน่วยความจำมาจาก Apple ^{[ 34 ]} Peter Vreugdenhil ใช้ประโยชน์จาก Internet Explorer 8 บน Windows 7 โดยใช้ช่องโหว่สองช่องที่เกี่ยวข้องกับการหลีกเลี่ยง ASLR และหลีกเลี่ยง DEP ^{[ 34 ]}

การแข่งขันในปี 2011 จัดขึ้นระหว่างวันที่ 9 ถึง 11 มีนาคม ระหว่างการประชุม CanSecWest ในแวนคูเวอร์^{[ 77 ]}เป้าหมายของเว็บเบราว์เซอร์ในการแข่งขันปี 2011 ได้แก่ Microsoft Internet Explorer, Apple Safari, Mozilla Firefox และ Google Chrome สิ่งใหม่สำหรับการแข่งขัน Pwn2Own คือการอนุญาตให้เจาะเข้าไปในโทรศัพท์มือถือโดยเฉพาะอย่างยิ่งผ่านเบสแบนด์ ของโทรศัพท์มือถือ เป้าหมายของโทรศัพท์มือถือ ได้แก่Dell Venue Proที่ใช้Windows Phone 7 , iPhone 4ที่ใช้iOS , BlackBerry Torch 9800ที่ใช้BlackBerry OS 6.0 และNexus Sที่ใช้Android 2.3 มีหลายทีมลงทะเบียนเข้าร่วมการแข่งขันเบราว์เซอร์บนเดสก์ท็อป สำหรับ Apple Safari ผู้เข้าแข่งขันที่ลงทะเบียน ได้แก่ VUPEN, Anon_07, Team Anon และ Charlie Miller Mozilla Firefox ได้แก่ Sam Thomas และ Anonymous_1 ทีม Microsoft Internet Explorer ได้แก่ Stephen Fewer, VUPEN, Sam Thomas และ Ahmed M Sleet ทีม Google Chrome ได้แก่ Moatz Khader, Team Anon และ Ahmed M Sleet สำหรับ หมวดหมู่ เบราว์เซอร์บนมือถือทีมที่ลงทะเบียนมีดังนี้ สำหรับการพยายามแฮ็ก Apple iPhone ทีมที่เข้าร่วมได้แก่ Anon_07, Dion Blazakis และ Charlie Miller, Team Anon, Anonymous_1 และ Ahmed M Sleet สำหรับการแฮ็ก RIM Blackberry ทีมที่เข้าร่วมได้แก่ Anonymous_1, Team Anon และ Ahmed M Sleet สำหรับการแฮ็กSamsung Nexus Sทีมที่เข้าร่วมได้แก่Jon Oberheide , Anonymous_1, Anon_07 และ Team Anonymous สำหรับการแฮ็กDell Venue Proทีมที่เข้าร่วมได้แก่George Hotz , Team Anonymous, Anonymous_1 และ Ahmed M Sleet

ในวันแรกของการแข่งขัน Safari และ Internet Explorer ถูกนักวิจัยเอาชนะ Safari เป็นเวอร์ชัน 5.0.3 ที่ติดตั้งบน Mac OS X 10.6.6 ที่ได้รับการแก้ไขอย่างสมบูรณ์ บริษัทรักษาความปลอดภัยVUPEN จากฝรั่งเศส เป็นรายแรกที่โจมตีเบราว์เซอร์ Internet Explorer เป็นเวอร์ชัน 32 บิต 8 ที่ติดตั้งบน Windows 7 Service Pack 1 แบบ 64 บิต นักวิจัยด้านความปลอดภัยStephen Fewerจาก Harmony Security ประสบความสำเร็จในการเจาะระบบ IE ซึ่งแสดงให้เห็นเช่นเดียวกับ Safari ^{[ 35 ]}ในวันที่ 2 iPhone 4และBlackberry Torch 9800ถูกเจาะระบบทั้งคู่ iPhone ใช้ iOS 4.2.1 อย่างไรก็ตาม ช่องโหว่นี้มีอยู่ใน iOS เวอร์ชัน 4.3 ^{[ 36 ]}นักวิจัยด้านความปลอดภัยCharlie Millerและ Dion Blazakis สามารถเข้าถึงสมุดที่อยู่ของ iPhone ผ่านช่องโหว่ใน Mobile Safari โดยการเยี่ยมชมเว็บเพจที่มีช่องโหว่^{[ 36 ]} โทรศัพท์ Blackberry Torch 9800 ใช้ระบบปฏิบัติการ BlackBerry OS 6.0.0.246 ทีมของ Vincenzo Iozzo, Willem Pinckaers และ Ralf Philipp Weinmann ได้ใช้ประโยชน์จากช่องโหว่ในเว็บเบราว์เซอร์ที่ใช้ WebKit ของ Blackberry โดยการเข้าชมเว็บเพจที่พวกเขาเตรียมไว้ก่อนหน้านี้^{[ 36 ]} Firefox, Android และ Windows Phone 7 มีกำหนดการทดสอบในวันที่ 2 แต่ทีมนักวิจัยด้านความปลอดภัยที่ได้รับเลือกสำหรับแพลตฟอร์มเหล่านี้ไม่ได้พยายามใช้ช่องโหว่ใดๆ Sam Thomas ได้รับเลือกให้ทดสอบ Firefox แต่เขาถอนตัวโดยระบุว่าช่องโหว่ของเขาไม่เสถียร นักวิจัยที่ได้รับเลือกให้ทดสอบ Android และ Windows Phone 7 ไม่ได้มาเข้าร่วม^{[ 36 ]}ไม่มีทีมใดมาเข้าร่วมในวันที่สาม Chrome และ Firefox ไม่ถูกแฮ็ก

สำหรับปี 2012 กฎได้ถูกเปลี่ยนเป็นการแข่งขันแบบชิงธงโดยใช้ระบบคะแนน^{[ 14 ]}รูปแบบใหม่นี้ทำให้Charlie Millerซึ่งประสบความสำเร็จในการแข่งขันในปีก่อนๆ ตัดสินใจไม่เข้าร่วม เนื่องจากต้องมีการเขียนช่องโหว่แบบ "ทันที" ซึ่ง Miller โต้แย้งว่าเอื้อประโยชน์ให้กับทีมขนาดใหญ่^{[ 16 ]}แฮกเกอร์ได้ต่อสู้กับเบราว์เซอร์หลักทั้งสี่^{[ 16 ]}

ในงาน Pwn2Own 2012 เบราว์เซอร์ Chrome ถูกเจาะระบบได้สำเร็จเป็นครั้งแรกVUPENปฏิเสธที่จะเปิดเผยวิธีการหลบหนีออกจากแซนด์บ็อกซ์ โดยกล่าวว่าจะขายข้อมูล ดังกล่าว ^{[ 15 ]} เบราว์เซอร์ Internet Explorer 9 บน Windows 7 ถูกเจาะระบบได้สำเร็จเป็นลำดับถัดไป^{[ 37 ] Firefox} เป็นเบราว์เซอร์ตัวที่สามที่ถูกแฮ็กโดยใช้ช่องโหว่ Zero Day [ ^{38 ]}

Safari บน Mac OS X Lion เป็นเบราว์เซอร์เดียวที่ยังคงใช้งานได้เมื่อสิ้นสุดส่วนของช่องโหว่ Zero-day ของ Pwn2Own เวอร์ชันของ Safari ที่ไม่ได้แก้ไขช่องโหว่อย่างสมบูรณ์และทำงานบน Mac OS X Snow Leopard ถูกโจมตีในระหว่างส่วนของช่องโหว่ CVE ของ Pwn2Own มีการปรับปรุงที่สำคัญในมาตรการป้องกันความปลอดภัยภายใน Mac OS X ใน Lion ^{[ 78 ] [ 79 ]}

Google ถอนตัวจากการเป็นสปอนเซอร์ของงานดังกล่าว เนื่องจากกฎในปี 2012 ไม่ได้กำหนดให้ผู้ชนะต้องเปิดเผยช่องโหว่ทั้งหมด โดยเฉพาะช่องโหว่ที่ใช้ในการเจาะระบบแซนด์บ็อกซ์และช่องโหว่ที่แสดงให้เห็นแต่ไม่ได้ "ชนะ" ^{[ 16 ]} Pwn2Own ปกป้องการตัดสินใจดังกล่าว โดยกล่าวว่าพวกเขาเชื่อว่าจะไม่มีแฮกเกอร์คนใดพยายามเจาะระบบ Chrome หากวิธีการของพวกเขาต้องถูกเปิดเผย^{[ 16 ]} Google เสนอการแข่งขัน "Pwnium" แยกต่างหาก ซึ่งเสนอเงินรางวัลสูงถึง 60,000 ดอลลาร์สำหรับช่องโหว่เฉพาะของ Chrome ช่องโหว่ที่ไม่ใช่ของ Chrome ที่ใช้จะได้รับการรับประกันว่าจะถูกรายงานไปยังผู้จำหน่ายที่เกี่ยวข้องทันที^{[ 16 ]} Sergey Glazunov และวัยรุ่นที่ระบุชื่อว่า "PinkiePie" ต่างได้รับเงินรางวัลคนละ 60,000 ดอลลาร์สำหรับช่องโหว่ที่หลีกเลี่ยงแซนด์บ็อกซ์ด้านความปลอดภัย^{[ 80 ] [ 81 ]} Google ออกการแก้ไขให้กับผู้ใช้ Chrome ภายในเวลาไม่ถึง 24 ชั่วโมงหลังจากที่ช่องโหว่ Pwnium ได้รับการสาธิต^{[ 82 ]}

ในปี 2013 Google กลับมาเป็นผู้สนับสนุนอีกครั้ง และกฎได้ถูกเปลี่ยนแปลงเพื่อให้ต้องเปิดเผยช่องโหว่และเทคนิคที่ใช้ทั้งหมด^{[ 17 ]}การแข่งขัน Mobile Pwn2Own 2013 จัดขึ้นในวันที่ 13–14 พฤศจิกายน 2013 ระหว่างการประชุม PacSec 2013 ที่โตเกียว^{[ 83 ]}เว็บเบราว์เซอร์ Google Chrome, Internet Explorer และ Firefox รวมถึง Windows 8 และ Java ถูกโจมตี^{[ 84 ]} Adobe ก็เข้าร่วมการแข่งขันด้วย โดยเพิ่ม Reader และ Flash เข้ามา ^{[ 41 ]} Apple Safari บน Mountain Lion ไม่ได้เป็นเป้าหมาย เนื่องจากไม่มีทีมใดเข้าร่วม

บริษัทรักษาความปลอดภัย VUPEN ของฝรั่งเศสประสบความสำเร็จในการเจาะระบบ Internet Explorer 10 ที่ได้รับการอัปเดตอย่างสมบูรณ์บน Microsoft Surface Pro ที่ใช้ Windows 8 เวอร์ชัน 64 บิต และสามารถข้ามผ่านแซนด์บ็อกซ์ Protected Mode ได้อย่างสมบูรณ์โดยไม่ทำให้เบราว์เซอร์ล่มหรือค้าง^{[ 41 ]}จากนั้นทีม VUPEN ก็ได้เจาะระบบ Mozilla Firefox, Adobe Flash และ Oracle Java ^{[ 42 ]} Pinkie Pie ได้รับรางวัล 50,000 ดอลลาร์ และ Google ได้ปล่อยการอัปเดต Chrome ในวันที่ 14 พฤศจิกายนเพื่อแก้ไขช่องโหว่ที่ถูกเจาะระบบ^{[ 43 ]} Nils และ Jon จาก MWRLabs ประสบความสำเร็จในการเจาะระบบ Google Chrome โดยใช้ข้อบกพร่องของ WebKit และเคอร์เนล Windows เพื่อข้ามผ่านแซนด์บ็อกซ์ของ Chrome และได้รับรางวัล 100,000 ดอลลาร์George Hotzเจาะระบบ Adobe Acrobat Reader และหลุดออกจากแซนด์บ็อกซ์เพื่อรับรางวัล 70,000 ดอลลาร์ James Forshaw, Joshua Drake และ Ben Murphy เจาะระบบ Oracle Java โดยอิสระเพื่อรับรางวัลคนละ 20,000 ดอลลาร์

การแข่งขันผ่านมือถือทำให้ผู้เข้าแข่งขันได้รับเงินรางวัล 117,500 ดอลลาร์จากเงินรางวัลรวม 300,000 ดอลลาร์^{[ 83 ]}

ในการแข่งขัน Pwn2Own 2014 ในเดือนมีนาคม^{[ 85 ] [ 86 ]}ซึ่งจัดขึ้นที่แวนคูเวอร์ในงานประชุม CanSecWest และได้รับการสนับสนุนจากHewlett-Packard [ ^{87 ] นัก}วิจัยสามารถเจาะระบบเบราว์เซอร์เป้าหมายทั้งสี่ตัวได้ สำเร็จ ^{[ 88 ]}และผู้เข้าร่วมแข่งขันโดยรวมได้รับเงินรางวัล 850,000 ดอลลาร์จากเงินรางวัลทั้งหมด 1,085,000 ดอลลาร์^{[ 89 ]} VUPENประสบความสำเร็จในการเจาะระบบInternet Explorer 11 , Adobe Reader XI , Google Chrome, Adobe Flash และ Mozilla Firefox เวอร์ชัน 64 บิตบนWindows 8.1เพื่อรับเงินรางวัลรวม 400,000 ดอลลาร์ ซึ่งเป็นเงินรางวัลสูงสุดที่จ่ายให้กับผู้เข้าแข่งขันรายเดียวจนถึงปัจจุบัน บริษัทใช้ช่องโหว่ zero-day ที่แตกต่างกันทั้งหมด 11 รายการ^{[ 90 ]}

ในบรรดาการโจมตีที่ประสบความสำเร็จอื่นๆ ในปี 2014 นั้นInternet Explorer 11ถูกโจมตีโดย Sebastian Apelt และ Andreas Schmidt จนได้รับรางวัล 100,000 ดอลลาร์^{[ 87 ]} Apple Safari บนMac OS X Mavericksและ Adobe Flash บน Windows 8.1 ถูกโจมตีสำเร็จโดย Liang Chen จาก Keen Team และ Zeguang Zhao จาก team509 ^{[ 91 ]} Mozilla Firefox ถูกโจมตีสามครั้งในวันแรก และอีกครั้งในวันที่สอง โดย HP มอบรางวัล 50,000 ดอลลาร์ให้กับนักวิจัยสำหรับช่องโหว่ Firefox แต่ละรายการที่เปิดเผยในปีนั้น^{[ 92 ]}ทั้ง Vupen และผู้เข้าร่วมที่ไม่ระบุชื่อได้โจมตี Google Chrome Vupen ได้รับรางวัล 100,000 ดอลลาร์สำหรับการเจาะระบบ ในขณะที่ผู้เข้าร่วมที่ไม่ระบุชื่อได้รับรางวัลลดลงเหลือ 60,000 ดอลลาร์ เนื่องจากการโจมตีของพวกเขาอาศัยช่องโหว่ที่เปิดเผยในวันก่อนหน้าในการแข่งขัน Pwnium ของ Google ^{[ 88 ]}นอกจากนี้ Nico Joly จากทีม VUPEN ยังได้ลองเจาะระบบ Windows Phone ( Lumia 1520 ) แต่ไม่สามารถควบคุมระบบได้อย่างสมบูรณ์^{[ 93 ]}ในปี 2014 Keen Lab ได้เจาะระบบ Adobe Flash บน Windows 8.1 ภายใน 16 วินาที และระบบ Safari บน OSX Mavericks ภายใน 20 วินาที^{[ 94 ]}

รางวัลทั้งหมดที่มีถูกรับไปในเดือนมีนาคม 2015 ที่แวนคูเวอร์ และเบราว์เซอร์ทั้งหมดถูกแฮ็กได้เงินรางวัลรวม 557,500 ดอลลาร์สหรัฐฯ และรางวัลอื่นๆ แฮ็กเกอร์อันดับต้นๆ คือ Jung Hoon Lee ซึ่งสามารถแฮ็ก "IE 11, Google Chrome ทั้งเวอร์ชันเสถียรและเบต้า และ Apple Safari" และได้รับเงินรางวัล 225,000 ดอลลาร์สหรัฐฯ การแฮ็กอื่นๆ ได้แก่ Team509 และ KeenTeem ที่เจาะเข้าไปใน Adobe Flash และการเจาะอื่นๆ ใน Adobe Reader โดยรวมแล้ว มีข้อบกพร่อง 5 รายการในระบบปฏิบัติการ Windows, 4 รายการใน Internet Explorer 11, 3 รายการใน Firefox, Adobe Reader และ Adobe Flash, 2 รายการใน Safari และ 1 รายการใน Chrome ^{[ 95 ]} Google ยุติการเป็นผู้สนับสนุน Pwn2Own ในปี 2015 ^{[ 19 ]}

ในการแข่งขันในเดือนมีนาคม 2016 “ผลงานที่ชนะแต่ละรายการสามารถหลีกเลี่ยงการบรรเทาผลกระทบจากแซนด์บ็อกซ์ได้โดยใช้ประโยชน์จากช่องโหว่ในระบบปฏิบัติการพื้นฐาน” ^{[ 96 ]}ในปี 2016 Chrome, Microsoft Edgeและ Safari ต่างก็ถูกแฮ็ก^{[ 97 ]}ตามที่ Brian Gorenc ผู้จัดการฝ่ายวิจัยช่องโหว่ของHPEกล่าว พวกเขาเลือกที่จะไม่รวม Firefox ในปีนั้น เนื่องจากพวกเขา “ต้องการมุ่งเน้นไปที่เบราว์เซอร์ที่มีการปรับปรุงด้านความปลอดภัยอย่างจริงจังในปีที่ผ่านมา” ^{[ 98 ]}หลังจากการแข่งขันสองวัน Tencent Security Team Sniper เอาชนะ JungHoon Lee ด้วยคะแนน Pwn มากกว่า 13 คะแนน และได้รับตำแหน่ง Master of Pwn สูงสุดสำหรับ Pwn2Own 2016 ^{[ 47 ]}ในการแข่งขัน Mobile Pwn2Own 2016 ซึ่งจัดขึ้นพร้อมกับการประชุมด้านความปลอดภัย PacSecWest ในโตเกียว ทีม Tencent Team Keen ได้รับรางวัล 215,000 ดอลลาร์สหรัฐจากการแข่งขัน Mobile Pwn2Own 2016 โดยการโจมตี Nexus6P และช่องโหว่สองช่องสำหรับ iPhone iOS 10.1 และได้รับรางวัล Master of Pwn ซึ่งเป็นตำแหน่งที่ ZDI มอบให้แก่ผู้เข้าแข่งขันที่สะสมคะแนนได้มากที่สุดตลอดการแข่งขัน^{[ 49 ]}

ในเดือนมีนาคม 2017 ที่แวนคูเวอร์ แฮกเกอร์ได้เจาะเข้าไปในแซนด์บ็อกซ์เครื่องเสมือนของ VMWare เป็นครั้งแรก^{[ 99 ]}ในปี 2017 Chrome ไม่มีการแฮ็กที่ประสบความสำเร็จเลย (แม้ว่าจะมีเพียงทีมเดียวที่พยายามโจมตี Chrome) เบราว์เซอร์ที่ประสบความสำเร็จมากที่สุดตามลำดับคือ Firefox, Safari และ Edge ^{[ 100 ]}การแข่งขัน Mobile Pwn2Own จัดขึ้นในวันที่ 1 และ 2 พฤศจิกายน 2017 ^{[ 101 ]}ตัวแทนจาก Apple, Google และ Huawei เข้าร่วมการแข่งขัน^{[ 102 ]}สมาร์ทโฟนหลายรุ่น รวมถึงรุ่นที่ใช้ซอฟต์แวร์ iOS 11.1 ของ Apple ก็ถูกแฮ็กได้สำเร็จเช่นกัน "การโจมตีที่ประสบความสำเร็จ 11 ครั้ง" มุ่งเป้าไปที่ iPhone 7, Huawei Mate 9 ProและSamsung Galaxy S8ส่วนGoogle Pixelไม่ถูกแฮ็ก^{[ 101 ]}โดยรวมแล้ว ZDI ในปีนั้นได้มอบเงินรางวัล 833,000 ดอลลาร์สหรัฐฯ เพื่อค้นหาช่องโหว่ zero-day จำนวน 51 รายการ^{[ 103 ]}ทีม Qihoo 360 ได้รับรางวัลสูงสุดในปี 2017 ^{[ 104 ]}

ในปี 2018 การประชุมมีขนาดเล็กกว่ามากและได้รับการสนับสนุนหลักจาก Microsoft จีนได้ห้ามไม่ให้นักวิจัยด้านความปลอดภัยของตนเข้าร่วมการแข่งขัน แม้ว่าชาวจีนจะเคยชนะในอดีต และห้ามการเปิดเผยช่องโหว่ด้านความปลอดภัยแก่ชาวต่างชาติ^{[ 21 ]}โดยเฉพาะอย่างยิ่ง Keen Labs ของ Tencentและทีม 360Vulcan ของ Qihoo 360 ไม่ได้เข้าร่วม รวมถึงชาวจีนคนอื่นๆ ด้วย^{[ 103 ]} ต่อมาได้มีการออกแบบ Tianfu Cupให้เป็น "Pwn2Own เวอร์ชันจีน" ซึ่งจัดขึ้นปีละสองครั้งเช่นกัน^{[ 105 ]}นอกจากนี้ ก่อนการประชุมในปี 2018 ไม่นาน Microsoft ได้แก้ไขช่องโหว่หลายรายการใน Edge ทำให้หลายทีมถอนตัว อย่างไรก็ตาม ยังพบช่องโหว่บางอย่างใน Edge, Safari, Firefox และอื่นๆ^{[ 106 ]}ไม่มีการพยายามแฮ็ก Chrome ^{[ 21 ] [ 107 ]}แม้ว่ารางวัลที่เสนอจะเท่ากับ Edge ก็ตาม^{[ 108 ]}ในที่สุดแฮกเกอร์ก็ได้รับรางวัล 267,000 ดอลลาร์^{[ 106 ]}แม้ว่าผลิตภัณฑ์ของ Microsoft หลายรายการจะมีรางวัลจำนวนมากสำหรับผู้ที่สามารถเข้าถึงได้ แต่มีเพียง Edge เท่านั้นที่ถูกเจาะระบบได้สำเร็จ รวมถึง Safari และ Firefox ด้วย^{[ 21 ]}

การแข่งขันในเดือนมีนาคม 2019 จัดขึ้นที่แวนคูเวอร์ในงานประชุม CanSecWest โดยมีหมวดหมู่ต่างๆ ได้แก่VMware ESXi , VMware Workstation , Oracle VirtualBox , Chrome, Microsoft Edge และ Firefox รวมถึง Tesla ด้วย^{[ 3 ]} Tesla ส่งรถซีดานรุ่นใหม่Model 3 เข้าร่วม โดยนักวิจัยสองคนได้รับเงินรางวัล 375,000 ดอลลาร์และรถยนต์ที่พวกเขาแฮ็กหลังจากพบ ข้อบกพร่องใน การสุ่มหน่วยความจำ ที่ร้ายแรงใน ระบบสาระบันเทิงของรถยนต์^{[ 22 ]} นอกจากนี้ยังเป็นปีแรกที่ อนุญาตให้แฮ็กอุปกรณ์ใน หมวดหมู่ ระบบบ้านอัตโนมัติ ได้ ^{[ 50 ]}

ในเดือนตุลาคม 2019 Politicoรายงานว่า Pwn2Own ฉบับถัดไปได้เพิ่มระบบควบคุมอุตสาหกรรม^{[ 23 ]} Pwn2Own Tokyo จัดขึ้นระหว่างวันที่ 6 ถึง 7 พฤศจิกายน และคาดว่าจะมีการแจกเงินสดและรางวัลมูลค่า 750,000 ดอลลาร์สหรัฐฯ โดยมีการส่ง Facebook Portalเข้าร่วม เช่นเดียวกับAmazon Echo Show 5 , Google Nest Hub Max, Amazon Cloud Cam และNest Cam IQ Indoor นอกจากนี้ยังมีการส่งชุดอุปกรณ์เสมือนจริงOculus Quest เข้าร่วมด้วย ^{[ 22 ]}ในปี 2019 ทีมหนึ่งได้รับรางวัล 60,000 ดอลลาร์สหรัฐฯ จากการแฮ็ก Amazon Echo Show 5 พวกเขาทำได้โดยการแฮ็กเข้าไปใน "ช่องว่างของแพทช์" ที่เชื่อมต่อซอฟต์แวร์รุ่นเก่าที่แพทช์ลงบนแพลตฟอร์มอื่น เนื่องจากหน้าจออัจฉริยะใช้ Chromium เวอร์ชันเก่า^{[ 109} ] [ ^{7 ] ทีมงานได้}แบ่งปันผลการค้นพบกับ Amazon ^{[ 50 ]}ซึ่งกล่าวว่ากำลังตรวจสอบการแฮ็กและจะดำเนินการ "ตามขั้นตอนที่เหมาะสม" ^{[ 109 ]}

การแข่งขัน Pwn2Own ครั้งใหม่จัดขึ้นระหว่างวันที่ 21-23 มกราคม 2020 ที่ไมอามีในงานประชุม S4 โดยมีเป้าหมายเฉพาะระบบควบคุมอุตสาหกรรมและSCADA เท่านั้น ^{[ 110 ]}ผู้เข้าแข่งขันได้รับรางวัลมากกว่า 250,000 ดอลลาร์สหรัฐตลอดระยะเวลาสามวัน^{[ 111 ]}เนื่องจากแฮกเกอร์ได้สาธิตการเจาะระบบหลายแพลตฟอร์ม ICS ชั้นนำ Steven Seeley และ Chris Anastasio คู่หูแฮกเกอร์ที่เรียกตัวเองว่า Team Incite ได้รับรางวัล Master of Pwn ^{[ 112 ]}พร้อมเงินรางวัล 80,000 ดอลลาร์สหรัฐ และคะแนน Master of Pwn 92.5 คะแนน โดยรวมแล้ว การแข่งขันมีการสาธิตที่ชนะ 14 รายการ ชนะบางส่วน 9 รายการเนื่องจากข้อบกพร่องที่ชนกัน และมีผลงานที่ล้มเหลว 2 รายการ^{[ 113 ]}

การแข่งขัน Pwn2Own 2020 ฉบับฤดูใบไม้ผลิจัดขึ้นในวันที่ 18–19 มีนาคม 2020 เทสลาได้กลับมาเป็นผู้สนับสนุนอีกครั้งและมีรถยนต์รุ่น Model 3 เป็นเป้าหมายให้ทดสอบ^{[ 114 ]}เนื่องจากการระบาดของ COVID-19การประชุมจึงเปลี่ยนไปจัดในรูปแบบออนไลน์ Zero Day Initiative ตัดสินใจอนุญาตให้ผู้เข้าร่วมจากระยะไกลเข้าร่วมได้ ซึ่งทำให้นักวิจัยสามารถส่งช่องโหว่ของตนไปยังโปรแกรมก่อนการแข่งขันได้ จากนั้นนักวิจัยของ ZDI จะทำการทดสอบช่องโหว่จากที่บ้านและบันทึกหน้าจอรวมถึงการสนทนาผ่าน Zoom กับผู้เข้าแข่งขัน การแข่งขันมีการสาธิตที่ประสบความสำเร็จ 6 ครั้งและมอบเงินรางวัล 270,000 ดอลลาร์สหรัฐตลอดสองวันของการแข่งขัน โดยซื้อช่องโหว่ที่ไม่ซ้ำกัน 13 รายการใน Adobe Reader, Apple Safari และ macOS, Microsoft Windows และ Oracle VirtualBox ^{[ 115 ]}คู่ของ Amat Cama และ Richard Zhu (ทีม Fluoroacetate) ได้รับรางวัล Master of Pwn พร้อมเงินรางวัล 90,000 ดอลลาร์สหรัฐ^{[ 116 ]}

การแข่งขัน Pwn2Own ฉบับฤดูใบไม้ร่วง ซึ่งปกติเรียกว่า Pwn2Own Tokyo จัดขึ้นระหว่างวันที่ 5-7 พฤศจิกายน 2020 เนื่องจากการล็อกดาวน์จาก COVID-19 ยังคงดำเนินต่อไป การแข่งขันจึงจัดขึ้นในรูปแบบออนไลน์อีกครั้ง และใช้ชื่อว่า Pwn2Own Tokyo (Live From Toronto) นักวิจัยของ ZDI ในโตรอนโตเป็นผู้ดำเนินการจัดงาน โดยมีผู้เข้าร่วมคนอื่นๆ เชื่อมต่อจากที่บ้าน^{[ 117 ]}งานนี้มีผู้ชนะ 8 ราย ผู้ชนะบางส่วน 9 รายเนื่องจากการชนกันของบั๊ก และความพยายามที่ไม่สำเร็จ 2 ครั้ง^{[ 118 ]}มีการมอบรางวัลรวมมูลค่า 136,500 ดอลลาร์สหรัฐ สำหรับบั๊กที่ไม่ซ้ำกัน 23 รายการ ทีม Flashback (Pedro Ribeiro และ Radek Domanski) ได้รับตำแหน่ง Master of Pwn สำหรับการเจาะระบบเราเตอร์เครือข่ายบริเวณกว้าง (WAN) ^{[ 119 ]}

การแข่งขัน Pwn2Own จัดขึ้นระหว่างวันที่ 6-8 เมษายน 2564 ทั้งในเมืองออสตินและในรูปแบบออนไลน์ กิจกรรมในปีนี้ขยายขอบเขตโดยเพิ่มหมวดหมู่การสื่อสารระดับองค์กร ซึ่งรวมถึง Microsoft Teams และ Zoom Messenger ^{[ 120 ]}ในวันแรกของการแข่งขัน Apple Safari ^{[ 121 ]} Microsoft Exchange, Microsoft Teams, Windows 10 ^{[ 122 ]}และ Ubuntu ถูกเจาะระบบ Zoom Messenger ถูกเจาะระบบในวันที่สองของการแข่งขันด้วยช่องโหว่แบบไม่ต้องคลิก^{[ 123 ]} Parallels Desktop, Google Chrome และ Microsoft Edge ก็ถูกเจาะระบบได้สำเร็จเช่นกันในระหว่างการแข่งขัน มีการมอบรางวัลมากกว่า 1,200,000 ดอลลาร์สหรัฐ สำหรับช่องโหว่ 0-day ที่ไม่ซ้ำกัน 23 รายการ รางวัล Master of Pwn ตกเป็นของสามทีมที่เสมอกัน ได้แก่ Team DEVCORE, OV และทีมของ Daan Keuper และ Thijs Alkemade ^{[ 124 ]}

การแข่งขัน Pwn2Own Miami ครั้งที่สองจัดขึ้นระหว่างวันที่ 19-21 เมษายน 2565 ณ โรงแรม Filmore ในเซาท์บีช ไมอามี มีเงินรางวัลรวม 400,000 ดอลลาร์สหรัฐ^{[ 125 ]}ทีมของ Daan Keuper และ Thijs Alkemade จาก Computest Sector 7 ได้รับรางวัล Master of Pwn พร้อมเงินรางวัล 90,000 ดอลลาร์สหรัฐ^{[ 126 ]}

Pwn2Own กลับมาจัดที่แวนคูเวอร์ในวันที่ 18–20 พฤษภาคม 2022 เพื่อฉลองครบรอบ 15 ปี^{[ 127 ]}ของการแข่งขัน ตลอดระยะเวลาสามวัน ZDI ได้มอบรางวัล 1,155,000 ดอลลาร์สหรัฐ สำหรับช่องโหว่ 0-day ที่ไม่ซ้ำกัน 25 รายการ วันแรกของการแข่งขันสร้างสถิติการแข่งขันในวันเดียวด้วยเงินรางวัล 800,000 ดอลลาร์สหรัฐ สำหรับการโจมตีหลายรูปแบบ รวมถึงการสาธิต Microsoft Teams สามครั้ง^{[ 128 ]}หนึ่งในการโจมตีเหล่านี้ไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ และสามารถใช้เพื่อเจาะระบบทั้งองค์กรได้ นอกจากนี้ยังมีการสาธิตการโจมตีที่ประสบความสำเร็จกับเว็บเบราว์เซอร์ Mozilla Firefox และ Apple Safari ^{[ 129 ]}วันที่สองของการแข่งขันโดดเด่นด้วยการโจมตีระยะไกลของระบบสาระบันเทิง Tesla นักวิจัยจากทีม Synacktiv สามารถสั่งการจากระยะไกลให้ที่ปัดน้ำฝน เปิดฝากระโปรงท้าย และกระพริบไฟหน้าของรถได้^{[ 130 ]}ในวันสุดท้ายของงาน มีการสาธิตการยกระดับสิทธิ์ของ Windows 11 ได้สำเร็จ 3 ใน 6 วิธี โดยทั้ง 6 วิธีนี้ใช้บั๊กที่ไม่ซ้ำกัน โทรศัพท์เรือธงของ Samsung อย่าง Galaxy S22 ที่ใช้ Android 13 รุ่นล่าสุด ถูกแฮ็กได้ภายในเวลาไม่ถึงนาที เมื่อรวมคะแนนทั้งหมดแล้ว ทีม STAR Labs ได้รับรางวัล Master of Pwn พร้อมเงินรางวัล 270,000 ดอลลาร์ และ 27 คะแนน^{[ 131 ] [ 132 ]}

• การเขียนโปรแกรมเชิงแข่งขัน
• หมวกขาว (ความปลอดภัยทางคอมพิวเตอร์)
• ดีเอฟ คอน

• การประชุมความปลอดภัยเชิงประยุกต์ CanSecWest