Polygon, soluzione di scalabilità layer-two per Ethereum, ha risolto una vulnerabilità che metteva a rischio quasi 24 miliardi di dollari del suo token nativo MATIC.
Secondo un blog post di Polygon del 29 dicembre, la vulnerabilità "critica" nel contratto Proof-of-Stake (PoS) Genesis della rete è stata evidenziata per la prima volta da due hacker whitehat il 3 e 4 dicembre, tramite la piattaforma di blockchain security e bug bounty Immunefi.
"Tutto quello che devi sapere sul recente aggiornamento della rete Polygon.
✅ Un security partner ha scoperto una vulnerabilità
✅ Il fix è stato introdotto immediatamente
✅ I validatori hanno aggiornato la rete
✅ Nessun danno materiale al protocollo/utenti finali
✅ I whitehat sono stati ricompensati"
All you need to know about the recent Polygon network update.
— Polygon | $MATIC (@0xPolygon) December 29, 2021
✅A security partner discovered a vulnerability
✅Fix was immediately introduced
✅Validators upgraded the network
✅No material harm to the protocol/end-users
✅White hats were paid a bounty https://t.co/oyDkvohg33
La vulnerabilità aveva messo a rischio più di 9,27 miliardi di MATIC, al cambio circa 23,6 miliardi di dollari al momento della stesura, rappresentando la quasi totalità della fornitura totale da 10 miliardi di token.
Polygon ha sottolineato che il bug è stato risolto al blocco #22156660 tramite un "Emergency Bor Upgrade" sul mainnet il 5 dicembre alle 8:27 ora italiana. Il team ha riportato che un "hacker malintenzionato" è riuscito a rubare 801.601 MATIC (2,04 milioni di dollari) prima che il bug fosse risolto. Il blog post recita:
"Il core team di Polygon si è impegnato con il gruppo e il team di esperti di Immunefi, introducendo immediatamente un fix. Le comunità di validatori e dei nodi completi sono state informate, facendo seguito ai core developer per aggiornare l'80% della rete entro 24 ore senza interruzioni."
Polygon ha dichiarato che il problema è stato risolto a porte chiuse in quanto segue la politica delle "patch silenziose" introdotta dal team Go Ethereum (Geth) nel novembre 2020. Secondo le linee guida, i progetti o gli sviluppatori segnalano le correzioni di bug importanti 4-8 settimane dopo la loro messa in funzione, per evitare il rischio di exploit al momento della patch.
Secondo Immunefi, l'hacker whitehat "Leon Spacewalker" è stato il primo a segnalare la falla nella sicurezza il 3 dicembre e sarà ricompensato con 2,2 milioni di dollari in stablecoin per i suoi sforzi; il secondo hacker anonimo, indicato come "Whitehat2," riceverà 500.000 MATIC (1,27 milioni di dollari) da Polygon.
Il co-fondatore di Polygon Jaynti Kanani ha sottolineato la capacità della rete di risolvere prontamente il bug critico:
"Questo è stato un test di resilienza della nostra rete, nonché della nostra capacità di agire con decisione sotto pressione. Considerando quanto fosse in gioco, credo che il nostro team abbia preso le migliori decisioni possibili date le circostanze".
Secondo i dati di Coingecko, MATIC ha un prezzo di 2,45 dollari ed è in crescita del 35,1% negli ultimi 30 giorni, nonostante l'attuale flessione delle principali criptovalute questo mese.