De ramp werd ternauwernood afgewend door het DeFi protocol Polygon-maar een aanvaller was in staat om er vandoor te gaan met bijna $2 miljoen in MATIC door gebruik te maken van de exploit.
Een “kritieke” kwetsbaarheid die 24 miljard dollar aan gebruikersgelden riskeerde, werd eerder deze maand stilletjes gepatcht door ontwikkelaars bij Polygon, een schaalbaar raamwerk voor Ethereum – maar niet voordat een aanvaller 1,8 miljoen dollar aan MATIC-tokens van Polygon wist te stelen.
De exploit werd gedeeld door white hat hackers op bug bounty platform ImmuneFi op 3 december. Binnen 48 uur werd een upgrade gestart en in een blogpost woensdag legde het Polygon-team uit dat ze ervoor kozen om het incident niet te onthullen totdat het gepatcht was.
“Gezien de aard van deze upgrade, moest deze worden uitgevoerd zonder al te veel aandacht te trekken,” schreven ze.
Als de kwetsbaarheid van het smart contract niet was verholpen, hadden aanvallers meer dan 9,2 miljard MATIC-tokens (uit een totale voorraad van 10 miljard) kunnen slaan uit het genesis-contract. Maar Polygon’s snelle uitvoering van de upgrade betekende dat er geen gebruikersgelden verloren gingen, en de upgrade werd voltooid zonder problemen.
https://twitter.com/0xPolygon/status/1476032036804513792
$2 miljoen in MATIC gestolen
De quick-fix hard fork kwam echter niet snel genoeg om te voorkomen dat een kwaadwillende aanvaller de exploit gebruikte om meer dan 800.000 MATIC te stelen (toen ongeveer $1,8 miljoen waard), voordat de patch was geïnstalleerd – een verlies dat de Polygon Foundation naar eigen zeggen zou dekken.
Medeoprichter van het project Jaynti Kanani zei dat zo’n situatie zich “vroeg of laat” zou voordoen, maar de uitkomst was een testament voor de veerkracht van het netwerk.
“Als je bedenkt hoeveel er op het spel stond, geloof ik dat ons team de best mogelijke beslissingen heeft genomen gezien de omstandigheden,” zei hij. De markt lijkt het daarmee eens te zijn, met MATIC-valuta verhandeld op $2,56 – 41% hoger in de afgelopen maand.
Polygon Price – December 31st, 2021 (bron: Crypto.com)
Polygon, dat enkele van de grootste beperkingen van Ethereum wil aanpakken – waaronder doorvoer en transactie-efficiëntie – heeft het afgelopen jaar grote stappen voorwaarts gemaakt. Onlangs kondigde de gedecentraliseerde exchange (DEX) Uniswap aan dat het het netwerk zou gebruiken voor zijn V3 lancering, wat MATIC naar nieuwe hoogtes stuurde.
Echter, de $98 miljard gedecentraliseerde financiële (DeFi) industrie heeft geleden onder een reeks van high-profile aanvallen, waarvan de meeste gericht waren op flash leningen. Ongeveer $474 miljoen aan fondsen werd gestolen uit de DeFi sector in de eerste zes maanden van 2021, volgens gegevens van forensische startup CipherTrace.
