Points clés à retenir
- Polygon a corrigé un bug critique sur son pont plasma.
- La vulnérabilité mettait en danger 850 millions de dollars, bien que le problème ait été résolu avant que des fonds ne soient perdus.
- Polygon a versé une prime record de 2 millions de dollars au pirate informatique qui a détecté le problème.
Polygon a corrigé une vulnérabilité critique qui a affecté son pont plasma.
Polygon paie une prime de 2 millions de dollars
Ethereum sidechain Polygon a corrigé un bug critique sur son pont plasma.
UNE rapport d’autopsie de la plate-forme de bug bounty Immunefi a révélé qu’il avait découvert le problème et qu’il avait été corrigé avant que tout piratage ou que des fonds ne soient perdus.
Polygon est le plus grand réseau sidechain sur Ethereum. Elle exploite le pont Plasma, un token passerelle qui permet aux utilisateurs de transférer des actifs du réseau principal Ethereum vers Polygon et de les retirer sur Ethereum.
Le pont plasma de Polygon dispose d’un mécanisme de sortie de sécurité qui implique la gravure de jetons dont le retrait sur le réseau principal a été demandé. Le 5 octobre, le hacker whitehat Gerhard Wagner a trouvé une faille de sécurité sur le pont qui pourrait permettre à des pirates malveillants de contourner le mécanisme de sortie du pont.
La principale vulnérabilité affectait WithdrawManager, une fonction spécifique du contrat de pont qui authentifie la transaction de gravure dans les blocs précédents pour retirer des actifs vers Ethereum.
Aucun fonds d’utilisateur n’a été perdu
Merci @g3rh4rdw4gn3r pour avoir divulgué le bogue de manière responsable, et @immunefi pour avoir facilité la prime de bogue de 2 000 000 $
👷♀️Construisons et rendons le Web 3.0 plus résistant à de telles attaques futures.
Vous pouvez lire le post mortem détaillé de l’exploit ici 👇 https://t.co/svhfo2cewS
— Polygone | $MATIC (@0xPolygone) 21 octobre 2021
Wagner a signalé la vulnérabilité à Immunefi, qui a ensuite informé Polygon. Selon l’autopsie d’Immunefi, l’équipe de Polygon « a immédiatement commencé à résoudre le problème sous-jacent » et il a été corrigé en toute sécurité peu de temps après. Le bogue aurait été suffisamment grave pour permettre aux pirates de drainer la totalité de la valeur verrouillée sur Plasma Bridge, qui était d’environ 850 millions de dollars à l’époque.
L’équipe de Polygon a récompensé Wagner avec 2 millions de dollars, la prime la plus élevée versée dans le crypto espace à ce jour.
Dans une déclaration partagée avec Crypto Briefing, le co-fondateur de Polygon, Jaynti Kanani, a déclaré que la sécurité ne devrait pas être une réflexion après coup lors de la création du Web 3. Commentant le problème, Kanani a ajouté qu’Immunefi avait aidé l’équipe de Polygon à « se connecter avec des chercheurs en sécurité pour faire le Réseau Polygon Proof-of-Stake plus résilient.
L’incident sert de rappel des problèmes de sécurité avec les ponts d’interopérabilité. Comme une variété de blockchains de couche 1 ont connu une croissance explosive, les ponts ont gagné en popularité. Cependant, il existe des problèmes de sécurité majeurs avec de nombreux ponts, ce qui a conduit à plusieurs attaques dans lesquelles des pirates ont exploité des vulnérabilités. Lors d’un incident notable, 611 millions de dollars ont été volés à un service de pont inter-chaînes appelé PolyNetwork. D’autres incidents de pont inter-chaînes sur pNetwork et Thorchain ont également subi des pertes de plusieurs millions de dollars ces derniers mois.
Divulgation: Au moment de la rédaction, l’auteur de cette fonctionnalité était propriétaire d’ETH.
Cet article est une traduction. Lire l’originale sur cryptobriefing
Parfois ma traduction est pourrie, mais le principal c'est que t'es l'info non ?