La mise à jour effectuée le 5 décembre visait à fermer cette faille de sécurité. Polygon a remercié les pirates informatiques qui ont signalé la vulnérabilité, bien que cela n’ait pas empêché les acteurs malveillants de voler plus de 801 500 MATIC en exploitant cette faille.

Des rapports récemment publiés indiquent que le protocole qui propose des solutions d’évolutivité pour le réseau Ethereum, Polygon, a été exposé à une éventuelle faille de sécurité mettant en danger tous les jetons MATIC actuellement émis, c’est pourquoi il a dû effectuer une mise à jour majeure (Hard Fork) plus tôt ce mois-ci.

Le bug présent dans le protocole Polygon

En tant que telle, la vulnérabilité critique était présente dans le contrat Genesis de Polygon, dans lequel tout ce qui est associé à l’algorithme Proof-of-Stake (PoS) sous lequel le réseau fonctionne est géré. Des rapports indiquent que la violation a peut-être permis aux attaquants de voler plus de 9,2 milliards de jetons MATIC, ce qui est proche du nombre total de jetons actuellement en circulation.

La personne responsable de rendre cette vulnérabilité visible était le hacker au chapeau blanc connu sous le nom de Leon Spacewalker, qui a publié les informations via la plate-forme de récompenses Immunefi. Après avoir vérifié la véracité des signalements, les responsables du portail ont contacté l’équipe de Polygon le même jour, confirmant la présente brèche et planifiant la mise à jour en question.

Agir vite

Bien que l’équipe ait agi rapidement et ait pu tester la mise à jour correspondante sur son réseau de test de Mumbai, malheureusement, avant son déploiement sur le réseau principal, un acteur inconnu a exploité la vulnérabilité et a volé plus de 801 500 MATIC. Conscient de ce qui s’est passé, le personnel de Polygon a indiqué à la tranquillité d’esprit des utilisateurs qu’ils assumeraient les pertes, afin qu’aucun opérateur de réseau ne soit affecté.

Après cet événement, un autre hacker au chapeau blanc a informé l’équipe d’Immunefi de la vulnérabilité, ce qui a montré que de plus en plus de personnes réalisaient les possibilités. Avec cela, l’équipe de Polygon a finalement réussi à combler l’écart après la mise à jour effectuée le 5 décembre.

Informer la communauté

En tant que telle, l’équipe de Polygon a révélé aujourd’hui tous les détails associés à cette affaire, bien qu’auparavant, il y ait eu des rumeurs sur les réseaux sociaux concernant ce qui s’est passé. Les critiques ont souligné la précipitation et le secret avec lesquels la situation a été gérée, le tout sans en informer la communauté de manière pertinente.

À cet égard, le cofondateur de Polygon, Mihailo Bjelic, a confirmé les rumeurs concernant la vulnérabilité et a ajouté :

« Maintenant, nous investissons beaucoup plus dans la sécurité et nous nous efforçons d’améliorer les pratiques de sécurité dans tous les projets Polygon »

De son côté, l’équipe de Polygon a indiqué que la situation était gérée de cette manière par la politique appelée « patchs silencieux » :

« Dans l’ensemble, l’équipe de développement a trouvé le meilleur équilibre possible entre ouverture et faire ce qui est le mieux pour la communauté, les partenaires et l’écosystème au sens large, en traitant ce problème extrêmement urgent et sensible. Mais chacun peut se faire son propre jugement sur ce qui s’est passé.

À ce titre, l’équipe de Polygon a remercié Spacewalker et l’autre hacker d’avoir signalé ce qui s’était passé, et leur a attribué un bonus de 2,2 millions de dollars et 1,27 million de dollars respectivement en jetons MATIC.

