Polygon, una rete di scaling Layer 2 basata su Ethereum, ha taciuto per quasi un mese su una vulnerabilità critica che ha quasi destabilizzato il suo ecosistema, con circa 24 miliardi di dollari di MATIC, il suo token nativo, messo a rischio a causa di un attore di minacce esterne .
Mentre Polygon ha fatto un ottimo lavoro nel mantenere la situazione nascosta per quasi un mese, quando le cose hanno iniziato a chiarirsi e gli ingegneri della sicurezza del suo protocollo hanno segnalato che la costa era libera, il protocollo ha continuato a rilasciare quello che può essere considerato un rapporto post-crisi.
Polygon ha inviato silenziosamente un aggiornamento alla sua rete e, con esso, è stata inviata una correzione cruciale a tutti i suoi nodi e validatori.
Tutto quello che devi sapere sul recente aggiornamento della rete Polygon.
✅Un partner di sicurezza ha scoperto una vulnerabilità
La correzione è stata introdotta immediatamente
I validatori hanno aggiornato la rete
✅Nessun danno materiale al protocollo/utenti finali
✅I cappelli bianchi sono stati pagati una taglia https://t.co/oyDkvohg33— Poligono | $MATIC ? (@0xPolygon) Dicembre 29, 2021
In un post sul blog che descrive in dettaglio l'incidente, il team di Polygon ha riferito che la vulnerabilità è stata rivelata per la prima volta da due hacker whitehat in due giorni, una finestra di divulgazione che è andata dal 3 dicembre al 4 dicembre 2021. Durante questa finestra, la vulnerabilità critica identificata all'interno Il contratto Genesis proof-of-stake di Polygon è stato dettagliato attraverso la collaborazione dei due hacker whitehat con Immunefi, una società di hosting di sicurezza blockchain e bug bounty.
“Il core team di Polygon si è impegnato con il gruppo e il team di esperti di Immunefi e ha immediatamente introdotto una soluzione. Le community del validatore e del nodo completo sono state informate e si sono mobilitate dietro gli sviluppatori principali per aggiornare l'80% della rete entro 24 ore senza interruzioni". Poligono spiegato.
Secondo l'analisi post-situazionale, sono state messe a rischio circa 9.27 miliardi di unità di $MATIC, il token nativo di Polygon. Con la fornitura totale di MATIC di 10 miliardi, questo ha messo in grave pericolo circa il 92% della rete. Fortunatamente, la comunità di nodi e sviluppatori principali di Polygon ha lavorato insieme per quello che avrebbe potuto essere un altro incidente nella foresta oscura.
“La cosa importante è che questo è stato un test della resilienza della nostra rete e della nostra capacità di agire con decisione sotto pressione. Considerando quanto era in gioco, credo che la nostra squadra abbia preso le migliori decisioni possibili date le circostanze". condiviso il co-fondatore di Polygon Jaynti Kanani.
Nonostante questi sforzi, l'autore della minaccia è stato in grado di sottrarre 801,601 MATIC dalla rete prima che venisse patchato. I token rubati ammontano a circa $ 2 milioni al momento. Da allora la fondazione Polygon ha deciso di "sostenere il costo del furto".
Polygon ha dichiarato che la correzione è stata introdotta in seguito, con il bug risolto al blocco 22,156,660 tramite un "Emergency Bor Upgrade" alla mainnet di Polygon. È successo alle 7:27 UTC del 5 dicembre 2021.
"La risposta del team di Polygon a questa divulgazione è stata rapida ed efficace", ha condiviso il CTO di Immunefi Duncan Townsend. “Il fatto che questo incidente abbia avuto un lieto fine è una testimonianza della loro esperienza. Lo stretto coordinamento con i validatori Polygon ha aiutato a evitare quello che avrebbe potuto essere un grave disastro", ha aggiunto.
Secondo Polygon, il motivo per cui il problema non è stato divulgato pubblicamente ed è stato risolto a porte chiuse è perché il loro team stava seguendo una politica introdotta dal team di Go Ethereum nel novembre 2020. Questa politica, chiamata "patch silenziosi", offre un margine di manovra per agli sviluppatori del protocollo di segnalare le patch infrastrutturali chiave entro 4-8 settimane dopo che si è verificato un incidente e viene introdotta una correzione. Questo aiuta il protocollo a evitare il rischio di essere "snipato" o sfruttato durante il tempo in cui viene eseguita la patch.
L'hacker di Whitehat "Leon Spacewalker" ha avviato la divulgazione della vulnerabilità e il coordinamento con Immunefi, mentre un altro hacker chiamato "Whitehat2" ha seguito e confermato le osservazioni iniziali. I due whitehat saranno premiati sia da Immunefi che da Polygon, con Leon Spacewalker che riceverà $ 2.2 milioni in stablecoin come ricompensa e Whitehat2 che riceverà 500,000 MATIC, ovvero circa $ 1.2 milioni.
Dichiarazione di non responsabilità: questo articolo viene fornito solo a scopo informativo. Non è offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://cryptodaily.co.uk/2022/01/how-polygon-averted-an-industry-wide-disaster