- Недавно компания Polygon скрытно устранила лазейку в смарт-контрактах, которая привела бы к потенциальной потере $24млд.
- Уязвимость была раскрыта двумя белыми хакерами, и это уже второе сообщение за последние 3 месяца.
Решение для масштабирования Ethereum второго уровня Polygon (MATIC) незаметно устранило ошибку, из-за которой MATIC оказалась под угрозой. Первыми уязвимость в контракте Proof-of-Stake (PoS) Genesis сети заметили два «белых» хакера. Они сообщили о ней через платформу Immunefi, занимающуюся безопасностью блокчейна и баг-баунти, 3 и 4 декабря.
Как отмечает Polygon, уязвимость была «критической», так как подвергала риску 9,27 млрд из 10 млрд токенов MATIC. На момент написания статьи эта сумма стоит 23,6 миллиарда долларов.
Для устранения ошибки 5 декабря примерно в 7:27 утра по Гринвичу в основной сети в блоке № 22156660 было введено «аварийное обновление Bor Upgrade». Сообщение в блоге Polygon гласит,
Основная команда Polygon связалась с группой и командой экспертов Immunefi и немедленно представила исправление. Сообщества валидаторов и полных узлов были оповещены, и они сплотились вокруг разработчиков ядра, чтобы обновить 80% сети в течение 24 часов.
Polygon и системная ошибка
Кроме того, процесс исправления был проведен скрытно, в соответствии с политикой Go Ethereum (Geth) от ноября 2020 года. Руководство гласит, что проекты или разработчики не должны сообщать о ключевых исправлениях до 4-8 недель после их запуска. Это снижает вероятность эксплуатации хакерами в момент установки патчей. Однажды, компания Polygon уже лишилась 801 601 MATIC (примерно 2,04 млн долларов США) из-за хакера.
All you need to know about the recent Polygon network update.
✅A security partner discovered a vulnerability
✅Fix was immediately introduced
✅Validators upgraded the network
✅No material harm to the protocol/end-users
✅White hats were paid a bounty https://t.co/oyDkvohg33— Polygon (Labs) (@0xPolygonLabs) December 29, 2021
Согласно Immunefi, «белые» хакеры получат достойное вознаграждение за свои усилия по обнаружению уязвимости. Leon Spacewalker, который первым указал на ошибку 3 декабря, получит в награду стабильные монеты на сумму 2,2 миллиона долларов. Тем временем второй хакер под псевдонимом «Whitehat2» получит от Polygon 500 000 MATIC (около $1,27 млн).
Читать далее: Whitehat hacker detects and discloses critical vulnerability on Polygon, receives $2M bounty
Соучредитель Polygon Джайнти Канани похвалил сеть за отличную работу и быстрое устранение ошибки, сказав:
Важно то, что это была проверка устойчивости нашей сети, а также нашей способности действовать решительно под давлением. Учитывая, как много было поставлено на карту, я считаю, что наша команда приняла наилучшие решения, возможные в данных обстоятельствах».
Децентрализованная или нет?
Децентрализованная или нет? Еще в октябре Polygon выплатил белому хакеру вознаграждение в размере 2 миллионов долларов за раскрытие уязвимости в сети стоимостью 850 миллионов долларов. Но, несмотря на усилия по поддержанию безопасности сети, она оказалась под пристальным вниманием за то, что не является «полностью децентрализованной». Критика возникла почти две недели назад, когда Polygon сделал хард форк «посреди ночи» без каких-либо предварительных сообщений об этом.
Читать далее: Хард форк Polygon посреди ночи — что произошло на самом деле?
По нашим данным, цена MATIC в настоящее время составляет $2,47, снизившись за день на 3,2 процента вслед за более широким нисходящим трендом на рынке. Однако за последние две недели и 30 дней токен вырос на 16,4 процента и 36,2 процента соответственно.
