Segundo um relatório, a Polygon, projeto de escalonamento Ethereum, correu sérios riscos de perder quase todos os seus tokens MATIC devido a um problema de vulnerabilidade “crítica” no principal contrato de prova de estaca, que poderia ter permitido que invasores roubassem mais de 9,2 bilhões de tokens MATIC.
A vulnerabilidade foi relatada na plataforma de recompensa de bug Immunefi por um hacker de whitehat conhecido como Leon Spacewalker. Segundo detalhes compartilhados nesta quarta-feira (29), o bug poderia ter permitido que os invasores tirassem ilegalmente mais de 9,2 bilhões de tokens MATIC do Polygon em seus contratos MRC20.
Após Spacewalker encontrar o bug, a Immunefi informou diretamente à equipe da Polygon, que no mesmo dia confirmaram a vulnerabilidade e fizeram a primeira atualização na rede para fazer a correção do bug, iniciando com um teste e depois de forma definitiva.
De acordo com a Polygon, a atualização da testnet foi concluída em 4 de dezembro, e a equipe estava se preparando para a atualização da mainnet. No entanto, antes que a atualização da mainnet fosse feita, um hacker conseguiu explorar o bug e roubou 801.601 tokens MATIC (atualmente avaliados em mais de US$ 2 milhões). A Polygon disse que arcará com o custo do roubo.
Depois que os tokens MATIC foram roubados, um segundo hacker de whitehat (que segue anônimo) descobriu a vulnerabilidade e enviou um relatório para a Immunefi. A Polygon então lançou uma nova atualização de emergência para sua rede principal, no último dia 5.
Mesmo com os detalhes do incidente sendo divulgados apenas nesta quarta-feira (29), vários rumores já circulavam redes sociais ao longo do mês de dezembro sobre atualizações silenciosas e sem aviso prévio que a Polygon realizou em sua plataforma.
O co-fundador da Polygon, Mihailo Bjelic, chegou a dizer que havia uma vulnerabilidade e que a equipe iria divulgar maiores detalhes no futuro detalhes. Após a identificação das falhas, a Polygon deu recompensas no valor de aproximadamente $ 3,46 milhões, com Spacewalker recebendo $ 2,2 milhões em stablecoins e o hacker anônimo de whitehat recebendo 500 mil tokens MATIC.