سرقت 1/6 میلیون دلاری از پلیگان
تیم توسعهدهنده اصلی پلیگان (Polygon) اعلام کرد که به دلیل یک اشکال مهم در یکی از قراردادهایش برای مدت کوتاهی مبلغ 1/6 میلیون دلار به سرقت رفته است.
پلیگان ، زنجیره جانبی اثبات سهام در اتریوم، گزارش داده است که یک باگ بحرانی در شبکه از طریق یک هارد فورک در 5 دسامبر برطرف شده است. این تیم فاش کرد که قبل از این هاردفورک، یک هکر ناشناس 1/6 میلیون دلار از توکن های MATIC را سرقت کرده است.
در هفته اول دسامبر، Leon Spacewalker و Whitehat2، دو هکر اخلاقمدار مرتبط با پلتفرم باگ Bounty Immunefi، پلیگان را از این حفره امنیتی مطلع کردند. این اشکال در تابع انتقال قرارداد MRC20 که برای تراکنشهای بدون گس در شبکه استفاده میشود، پیدا شد.
پس از گزارش این باگ، پلیگان با استفاده از یک هاردفورک مخفی که در کنار تمام اعتباردهنده ها و اپراتورهای گره کار میکرد، آن را اصلاح کرد. حتی با وجود اینکه این آسیبپذیری در عرض چند روز برطرف شد، اما نتوانست مانع از سرقت 801601 توکن MATIC به ارزش 1/6 میلیون دلار توسط یک هکر کلاهسیاه ناشناس در آن زمان شود.
این تیم گزارش داد:
علیرغم تلاشهای ما، قبل از اعمال بهروز رسانی شبکه، یک هکر مخرب توانست از این ایراد برای سرقت 801601 MATIC استفاده کند.
اگر بهروز رسانی شبکه بیشتر به تعویق میافتاد، وضعیت میتوانست به مراتب بدتر باشد. Immunefi که به پلیگان در اجرای این اصلاح کمک کرد، در یک پست وبلاگ متفاوت نوشت اگر باگ پلیگان گزارش نشده بود، هکرهای مخرب میتوانستند تقریباً 9/2 میلیارد توکن MATIC به ارزش حدود 20 میلیارد دلار را برداشت کنند.
جینتی کانانی، یکی از بنیانگذاران پلیگان، درباره اقدامات انجام شده توسط تیم برای رفع آسیبپذیری گفت که تیم «با توجه به شرایط، بهترین تصمیمهای ممکن را گرفت».
پلیگان جوایزی در حدود 3/46 میلیون دلار به هکرهای اخلاقی که این اشکال را گزارش کرده اند پرداخت کرده است. علاوه بر این، این تیم گفت که مسئولیت توکنهای MATIC به سرقت رفته را تقبل خواهد کرد.
این اولین باری نبود که یک باگ مهم در پلیگان کشف و برطرف شد. در اکتبر 2021، پلیگان یک اشکال مهم را در پل پلاسمای خود اصلاح کرد که دارای 850 میلیون دلار دارایی قفل شده بود.
پلیگان توضیح نداد که چرا هک به مدت 24 روز عمومی نشده است. نمایندگان این پروژه هم به درخواست اظهار نظر پاسخ ندادند.