ポリゴンのバグを悪用した後、ハッカーが160万ドルを盗んだ

Polygonの背後にあるコア開発チームは、その契約の1つにある重大なバグが160万ドルで一時的に悪用されたことを明らかにしました。

ポリゴンは重大なバグにパッチを当てるために密かにハードフォークされました

イーサリアムのプルーフオブステークサイドチェーンであるPolygonは、12月5日にハードフォークを介して修正されたバグのため、今月初めに一時的にハッキングされました。ハードフォークの前に、未知のハッカーがMATICトークンで160万ドルを盗みました。木曜日に明らかに ブログ投稿、イベントの24日後。

12月の第1週に、 レオンスペースウォーカー バグバウンティプラットフォームImmunefiに関連する2人の倫理的ハッカーであるWhitehat2は、Polygonに脆弱性を通知しました。 このバグは、ネットワーク上のガスレストランザクションに使用されるMRC20コントラクトの伝達関数で発見されました。

バグが報告された後、Polygonは、すべてのバリデーターとノードオペレーターと連携して機能するステルスハードフォークを利用して、バグにパッチを適用しました。 この脆弱性は数日以内に修正されましたが、未知のブラックハットハッカーがその時点で160万ドル相当の801,601個のMATICトークンを盗むのを阻止することはできませんでした。 事後分析で、チームは次のように報告しました。

「最善の努力にもかかわらず、悪意のあるハッカーは、ネットワークのアップグレードが有効になる前に、このエクスプロイトを使用して801,601MATICを盗むことができました。」

これがさらに遅れていれば、状況ははるかに悪化した可能性があります。 修正の展開でPolygonを支援したImmunefi、 述べました 別のブログ投稿では、Polygonのバグが報告されていなかった場合、悪意のあるハッカーは、当時約200億ドル相当の約92億のMATICトークンを使い果たした可能性があります。

脆弱性にパッチを当てるためにチームが取った手順についてコメントし、Polygonの共同創設者であるJaynti Kananiは、チームは「状況を考慮して可能な限り最善の決定を下した」と述べました。

Polygonは、バグを報告した倫理的なハッカーに約346万ドルの報奨金を支払いました。 さらに、チームは、盗まれたMATICトークンの費用を負担すると述べました。

重大なバグが発見され、Polygonにパッチが適用されたのは、これが初めてではありませんでした。 2021年10月、Polygonは、8億5,000万ドルのロックされた資金を抱えていたPlasmaBridgeの重大なバグにパッチを適用しました。

Polygonは、ハッキングが24日間公開されなかった理由を明らかにしませんでした。 プロジェクトの代表者はコメントの要請に応じなかった。

開示：執筆時点で、この作品の作者はETH、MATIC、およびその他の暗号通貨を所有していました。