Polygon, una red de escalamiento de capa 2 basada en Ethereum, ha guardado silencio durante casi un mes sobre una vulnerabilidad crítica que casi desestabilizó su ecosistema, con aproximadamente $ 24 mil millones en MATIC, su token nativo, puesto en riesgo debido a un actor de amenaza externo. .
Si bien Polygon ha hecho un gran trabajo al mantener la situación en secreto durante casi un mes, cuando las cosas comenzaron a aclararse y los ingenieros de seguridad de su protocolo señalaron que la costa estaba despejada, el protocolo lanzó lo que se puede considerar como un informe poscrisis.
Polygon envió silenciosamente una actualización a su red y, con ella, se envió una solución crucial a todos sus nodos y validadores.
Todo lo que necesita saber sobre la reciente actualización de la red Polygon.
✅Un socio de seguridad descubrió una vulnerabilidad
✅Fix se introdujo de inmediato
✅Validators actualizaron la red
✅ Ningún daño material al protocolo / usuarios finales
✅Los sombreros blancos recibieron una recompensa https://t.co/oyDkvohg33— Polígono | $MATIC ? (@0xPolígono) 29 de diciembre de 2021
En una publicación de blog que detalla el incidente, el equipo de Polygon informó que la vulnerabilidad fue revelada por primera vez por dos piratas informáticos de sombrero blanco durante dos días, una ventana de divulgación que fue del 3 de diciembre al 4 de diciembre de 2021. Durante esta ventana, la vulnerabilidad crítica identificada dentro El contrato Génesis de prueba de participación de Polygon se detalló a través de la cooperación de los dos hackers de sombrero blanco con Immunefi, una empresa de alojamiento de recompensas de seguridad y errores de cadena de bloques.
“El equipo central de Polygon se comprometió con el grupo y el equipo de expertos de Immunefi e inmediatamente introdujo una solución. El validador y las comunidades de nodos completos fueron notificados, y se unieron a los desarrolladores principales para actualizar el 80% de la red en 24 horas sin interrupciones ". Polígono explicado.
Según el análisis posterior a la situación, se pusieron en riesgo unas 9.27 millones de unidades de $ MATIC, el token nativo de Polygon. Con el suministro total de MATIC de 10 mil millones, esto puso aproximadamente al 92% de la red en grave peligro. Afortunadamente, la comunidad de nodos y desarrolladores centrales de Polygon trabajaron juntos en lo que podría haber sido otro incidente del bosque oscuro.
“Lo importante es que fue una prueba de la capacidad de recuperación de nuestra red, así como de nuestra capacidad para actuar con decisión bajo presión. Considerando cuánto estaba en juego, creo que nuestro equipo ha tomado las mejores decisiones posibles dadas las circunstancias ". compartió el cofundador de Polygon, Jaynti Kanani.
A pesar de estos esfuerzos, el actor de amenazas pudo desviar 801,601 MATIC de la red antes de que se parcheara. Los tokens robados ascienden aproximadamente a $ 2 millones en ese momento. Desde entonces, la fundación Polygon decidió "asumir el costo del robo".
Polygon declaró que la corrección se introdujo a partir de entonces, con el error resuelto en el bloque 22,156,660 a través de una "Actualización de emergencia de Bor" en la red principal de Polygon. Esto ocurrió a las 7:27 a.m. UTC del 5 de diciembre de 2021.
"La respuesta del equipo de Polygon a esta divulgación fue rápida y eficaz", comentó el director de tecnología de Immunefi, Duncan Townsend. “Que este incidente haya tenido un final feliz es un testimonio de su experiencia. La estrecha coordinación con los validadores de Polygon ayudó a evitar lo que podría haber sido un gran desastre ”, agregó.
Según Polygon, la razón por la que el problema no se reveló públicamente y se resolvió a puerta cerrada es porque su equipo estaba siguiendo una política introducida por el equipo de Go Ethereum en noviembre de 2020. Esta política, denominada "parches silenciosos", proporciona un margen de maniobra para que los desarrolladores de protocolos informen sobre parches de infraestructura clave durante 4-8 semanas después de que ocurra un incidente y se introduzca una solución. Esto ayuda al protocolo a evitar el riesgo de ser "atacado" o explotado durante el tiempo que se realiza el parche.
El hacker de Whitehat "Leon Spacewalker" inició la divulgación de la vulnerabilidad y la coordinación con Immunefi, mientras que otro hacker que se hace llamar "Whitehat2" siguió y confirmó las observaciones iniciales. Los dos whitehats serán recompensados por Immunefi y Polygon, con Leon Spacewalker recibiendo $ 2.2 millones en monedas estables como recompensa, y Whitehat2 recibiendo 500,000 MATIC, o alrededor de $ 1.2 millones.
Descargo de responsabilidad: este artículo se proporciona solo con fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://cryptodaily.co.uk/2022/01/how-polygon-averted-an-industry-wide-disaster