Nhóm phát triển cốt lõi đằng sau Polygon đã tiết lộ rằng một lỗi nghiêm trọng trong một trong các hợp đồng của họ đã được khai thác trong thời gian ngắn với giá 1,6 triệu đô la.
Một hacker đã đánh cắp 1,6 triệu đô la sau khi khai thác một lỗi Polygon
Polygon đã báo cáo rằng một lỗi nghiêm trọng trên mạng đã được sửa thông qua đợt tricky fork vào ngày 5 tháng 12. Trước khi hardfork xảy ra, một tin tặc không rõ danh tính đã đánh cắp 1,6 triệu đô la MATIC, nhóm đã tiết lộ trong một bài đăng trên site vào thứ Năm, 24 ngày sau sự kiện.
Vào tuần đầu tiên của tháng 12, Leon Spacewalker và Whitehat2, hai hacker đạo đức, có liên quan đến nền tảng tiền thưởng lỗi Immunefi, đã thông báo cho Polygon về một lỗ hổng. Lỗi được tìm thấy trong chức năng chuyển giao của hợp đồng MRC20 được sử dụng cho các giao dịch không cần gasoline trên mạng.
Sau khi lỗi được báo cáo, Polygon đã vá nó bằng cách tận dụng một tough fork ẩn hoạt động với tất cả các trình xác nhận và toán tử nút của nó. Mặc dù lỗ hổng bảo mật đã được sửa trong vòng vài ngày, nhưng nó không thể ngăn một hacker mũ đen ẩn danh đánh cắp 801.601 MATIC trị giá 1,6 triệu đô la vào thời điểm đó.
“Bất chấp những nỗ lực hết mình của chúng tôi, một hacker độc hại đã có thể sử dụng khai thác để đánh cắp 801.601 MATIC trước khi quá trình nâng cấp mạng có hiệu lực”, báo cáo của nhóm nghiên cứu.
Tình hình có thể tồi tệ hơn nhiều nếu việc này bị trì hoãn thêm nữa. Immunefi, công ty đã hỗ trợ Polygon triển khai bản sửa lỗi, đã tuyên bố trong một bài đăng trên website khác rằng các tin tặc độc hại có thể đã tiêu hao khoảng 9,2 tỷ mã thông báo MATIC trị giá khoảng 20 tỷ đô la nếu lỗi Polygon không được báo cáo kịp thời.
Nhận xét về các bước mà nhóm đã thực hiện để vá lỗ hổng bảo mật, người đồng sáng lập Polygon, Jaynti Kanani, cho biết nhóm “đã đưa ra quyết định tốt nhất có thể tùy theo hoàn cảnh”.
Polygon đã trả phần thưởng tiền thưởng khoảng 3,46 triệu đô la cho những tin tặc có đạo đức đã báo cáo lỗi. Ngoài ra, nhóm nghiên cứu cho biết họ sẽ chịu chi phí MATIC bị đánh cắp. Đây không phải là lần đầu tiên một lỗi nghiêm trọng được phát hiện và vá trên Polygon. Vào tháng 10 năm 2021, Polygon đã vá một lỗi nghiêm trọng trên Cầu Plasma khiến quỹ bị khóa là 850 triệu đô la.
Polygon không làm rõ lý do tại sao vụ hack không được công khai trong 24 ngày. Các đại diện từ dự án đã không trả lời yêu cầu bình luận.
Đăng ký tài khoản Binance tại đây (Giảm 10% phí giao dịch): https://accounts.binance.com/en/sign-up?ref=28703923
