Polygon (MATIC), een layer-2-schaaloplossing voor Ethereum (ETH), werd eerder deze maand kortstondig gehackt vanwege een bug die later op 5 december via een hard fork werd verholpen. Voor de hard fork stal een onbekende hacker $1,6 miljoen aan MATIC-tokens, aldus een blogpost die gisteren, 24 dagen na het evenement, geplaatst werd.
In de eerste week van december hebben Leon Spacewalker en Whitehat2, twee ethische hackers verbonden aan het bug bounty-platform Immunefi, Polygon op de hoogte gebracht van een kwetsbaarheid. De bug werd gevonden in de overdrachtsfunctie van zijn MRC20-contract dat wordt gebruikt voor gasloze transacties op het netwerk.
Nadat de bug was gemeld, heeft Polygon de bug gepatcht door gebruik te maken van een stealth-hardfork die samenwerkt met al zijn validators en node-operators. Hoewel de kwetsbaarheid binnen een paar dagen was verholpen, kon het de hacker er niet van weerhouden 801.601 MATIC-tokens te stelen, ter waarde van $1,6 miljoen op dat moment. Het team gaf het volgende aan:
“Ondanks onze inspanningen kon een kwaadwillende hacker de exploit gebruiken om 801.601 MATIC te stelen voordat de netwerkupgrade van kracht werd.”
De situatie had echter veel erger kunnen zijn als dit verder was uitgesteld. Immunefi, dat Polygon hielp bij het implementeren van de fix, verklaarde in een andere blogpost dat, als de Polygon-bug niet was gemeld, kwaadwillende hackers ongeveer 9,2 miljard MATIC-tokens hadden kunnen stelen, ter waarde van ongeveer $20 miljard op dat moment.
In een reactie op de stappen die het team heeft genomen om de kwetsbaarheid te verhelpen, zei Jaynti Kanani, medeoprichter van Polygon, dat het team “de best mogelijke beslissingen heeft genomen gezien de omstandigheden.” Tevens werd duidelijk dat Polygon premies van ongeveer $3,46 miljoen heeft uitbetaald aan de ethische hackers die de bug hebben gemeld en het team gaf aan dat het de kosten van de gestolen MATIC-tokens zal dragen.
Dit was niet de eerste keer dat een kritieke bug werd ontdekt en gepatcht op Polygon. In oktober 2021 heeft Polygon een kritieke bug gepatcht op zijn Plasma Bridge met $850 miljoen aan geblokkeerde fondsen. Nadat de ontdekking was gedaan, begon het team het probleem binnen 30 minuten op te lossen, zonder enig verlies van gebruikersgelden.
