Dự án mở rộng quy mô Ethereum, Polygon đã có lúc đứng trước nguy cơ mất toàn bộ quỹ token MATIC của mình trước đợt nâng cấp mạng lưới khẩn cấp vào đầu tháng.
Vấn đề là một lỗ hổng “nghiêm trọng” trong hợp đồng khởi tạo proof-of-stake của Polygon, có thể cho phép những kẻ tấn công đánh cắp hơn 9,2 tỷ token MATIC (hiện trị giá hơn 24 tỷ đô la). Để so sánh thì tổng cung MATIC là 10 tỷ token, đồng nghĩa với việc hacker có thể nắm trong tay mình 92% toàn lượng MATIC được tạo ra.
Lỗ hổng bảo mật đã được báo cáo trên nền tảng tiền thưởng lỗi Immunefi bởi một hacker mũ trắng có tên là Leon Spacewalker. Theo thông tin chi tiết được chia sẻ hôm thứ Tư, về cơ bản lỗi này có thể cho phép những kẻ tấn công tự ý khai thác tất cả hơn 9,2 tỷ token MATIC của Polygon từ hợp đồng MRC20 của họ.
Sau khi Spacewalker tìm ra lỗi, Immunefi đã thông báo cho nhóm Polygon vào cùng ngày. Polygon xác nhận lỗ hổng là có thật và bắt tay xây dựng bản vá, triển khai nó thành công trên tesnet Mumbai vào ngày 4 tháng 12 và sẵn sàng để đưa lên mainnet.
Tuy nhiên, trong khoảng thời gian này, lỗ hổng đã được một kẻ xấu tìm thấy và lợi dụng, làm thất thoát 801.601 MATIC (trị giá khoảng 2 triệu USD). Polygon tuyên bố sẽ tự gánh chịu thiệt hại từ lỗ hổng. Sau đó, một hacker mũ trắng khác (người vẫn giấu tên) đã phát hiện ra lỗ hổng và gửi báo cáo cho Immunefi. Polygon sau đó đã phát hành một bản nâng cấp khẩn cấp cho mạng chính của họ, với đợt hard fork diễn ra vào ngày 5 tháng 12.
Dù chi tiết về sự cố mãi đến ngày 29 tháng 12 mới được thông báo cho cộng đồng, nhưng các cuộc bàn tán trên mạng xã hội vào giữa tháng 12 đã xuất hiện về đợt hard fork không có thông báo trước từ team Polygon.
Vào thời điểm đó, nhà đồng sáng lập Polygon, Mihailo Bjelic, nói rằng có một lỗ hổng bảo mật và nhóm sẽ công bố thông tin chi tiết bổ sung. “Chúng tôi hiện đang đầu tư nhiều hơn vào bảo mật và chúng tôi đang nỗ lực cải thiện các phương pháp bảo mật trên tất cả các dự án Polygon“, ông viết vào thời điểm đó.
Team Polygon đã trao tiền thưởng lỗi trị giá khoảng 3,46 triệu đô la, trong đó Spacewalker nhận được số tiền trị giá 2,2 triệu đô la và hacker mũ trắng ẩn danh nhận được 500.000 token MATIC (hiện tại trị giá hơn 1,27 triệu đô la).
Giá MATIC trên thị trường dường như không bị ảnh hưởng bởi tin tức lỗi này, với giao dịch token ở mức khoảng 2,45 đô la tính đến thời điểm viết bài.
GócTiềnẢo
Tham gia thảo luận cùng GTA team tại:
Facebook | News | Fanpage | Twitter | Trading | Research | Youtube
