Разработчики Polygon признали наличие уязвимости, которая привела к потере $1,6 млн

CryptoPro

Команда разработчиков Polygon призналась, что критическая ошибка в одном из контрактов привела к потере $1,6 миллиона

Как стало известно, в начале месяца Polygon подвергся взлому, но 5 декабря баг был исправлен с помощью хардфорка. Перед хардфорком неизвестный хакер украл $1,6 миллиона в токенах MATIC. Команда разработчиков решила сообщить об этом лишь спустя 3,5 недели.

В первую неделю декабря два белых хакера Leon Spacewalker и Whitehat2, работающих с баг-баунти платформой Immunefi, сообщили Polygon об уязвимости. Ошибка была обнаружена в функции передачи контракта MRC20, используемого для безгазовых транзакций в сети. После получения информации Polygon исправил ошибку, но, несмотря на устранение уязвимости в течение нескольких дней, неизвестный хакер смог украсть 801 601 MATIC на сумму $1,6 миллиона.

Примечательно, что ситуация могла быть намного хуже в случае промедления, так как хакеры могли похитить 9,2 миллиарда MATIC на сумму около $20 миллиардов.

Соучредитель Polygon Джейнти Канани отметил, что команда приняла оптимально возможные решения с учетом обстоятельств. Polygon выплатил белым хакерам вознаграждение в размере $3,46 миллиона и команда взяла на себя компенсацию украденных токенов MATIC.

Нынешний инцидент с критической ошибкой уже не первый для Polygon. В октябре 2021 года была исправлена критической ошибка в Plasma Bridge, в котором были заблокированы средства на сумму $850 миллионов.

Представители Polygon не пояснили, почему информация о взломе не была опубликована сразу же, а появилась спустя 3,5 недели.

Ivan Ivanov

что не признали сразу - это минус, наверное не были уверены, что до конца все обнаружили и боялись сообщать, чтобы другие хакеры не начали рыть в этом направлении.

Gandler

@ivan-ivanov ну с другой стороны после исправления и кражи, видимо ещё исправлений можно было сразу сказать. Сумма всё же не большая, а учитывая что стояло на кону белому хакеру они заплатили мало.

Ivan Ivanov

@gandler но как для баунти, то сумма приличная. обычно платят десятки тысяч долларов, а здесь миллионы заплатили.

Gandler

@ivan-ivanov ну всё равно по сравнению с общим возможным ущербом это капля в море. Я бы за такие услуги взял бы миллионов 20.)

Ivan Ivanov

@gandler так это потенциальный ущерб и не факт, что он еще бы был. а так 3 миллиона долларов - это неплохое баунти вышло для этих пацанов.

Gandler

@ivan-ivanov там вроде один человек, не? Думаете если бы не заметил он, то заметил кто-нибудь другой?! Как они вообще определяют кому сколько платить?

Ivan Ivanov

@gandler писали, что два белых хакера Leon Spacewalker и Whitehat2. наверное они в паре работают и пополам все поделят.

Gandler

@ivan-ivanov так тогда ещё меньше на нос получается. Я понимаю что сама по себе сумма не маленькая, но всё познаётся в сравнении.

Ivan Ivanov

@gandler а где они еще заработают такие деньги абсолютно легально? могли бы попробовать украсть, но сам понимаешь, что тогда спокойно жить не смогут.

Gandler

@ivan-ivanov может для них это то же рулетка. Это прикиньте сколько в мире белых хакеров, проектов. Чтобы найти в них уязвимость и быть первым и что-то за это получить. Кстати тот сервис анализа дыр в проекте опять облажался...это уже третий промах?)

Ivan Ivanov

@gandler так все дело в профессионализме и доле везения. понятно, что хорошие деньги зарабатывают самые умные, а остальные мелочь собирают.

Gandler

@ivan-ivanov в везение точно, потому что проектов так много что попробуй успей всех их проверить. Слушайте после аудита от той компании, можно было бы иметь связь с хакерами с целью нахождения дыр, хакерам они явно больше платят чем аудиторам.)

Ivan Ivanov

@gandler наверное есть какой-то алгоритм проверки, чтобы побыстрее все делать. вряд ли эти люди раскроют свои хитрости.

Gandler

@ivan-ivanov возможно есть самый распространённый список ошибок новичков, ошибок в коде и тому подобное по которому можно быстро пробежаться и что-то найти. Типа список действий что делать чтобы найти баг.

Scott Shelby

"Представители Polygon не пояснили, почему информация о взломе не была опубликована сразу же, а появилась спустя 3,5 недели."
Не пояснили, потому что испугались того, что это отразилось бы на репутации перед сообществом, ну и на курсе бы ещё сильнее сказалось, я полагаю.

Ivan Ivanov

@gandler не думаю, что они целыми днями копаются в коде, не видя белого света. а с такой наградой вообще могут отдыхать пару лет.

Gandler

@ivan-ivanov нет, когда тебе повезло один раз, ты можешь попробовать ещё и ещё. Чтоб было не 3 млн, а 30. В конце концов можно открыть целое агентство.

Ivan Ivanov

@gandler вряд ли такие люди будут работать на кого-то. они предпочитают все делать в одиночку, так что на работу ходить не будут.

Limon1986

Да вообще этоот проект изначально как то не внушал доверия насколько я помню, а сейчас смотрю и переводы с проектов приостановлены по Матику.