Un bug de polygone met en danger 23 milliards de dollars de crypto-monnaie

Blockchain & Crypto-monnaie , Fraude aux crypto-monnaies , Gestion de la fraude & Cybercriminalité

Un hacker a utilisé un exploit, maintenant corrigé, pour voler 2 millions de dollars en jetons

Prajeet Nair (@prajeetspeaks) •
30 décembre 2021

Une vulnérabilité dans Polygon, un framework utilisé pour créer des réseaux blockchain compatibles avec Ethereum, a été corrigée.

Voir également: Comment améliorer vos défenses avec Security Analytics

Le bogue, découvert le 3 décembre par des pirates informatiques de la plate-forme de primes aux bogues Immunefi, aurait mis en danger 9 276 584 332 MATIC, d’une valeur de près de 23 milliards de dollars à l’époque, selon Immunefi.

MATIC est la crypto-monnaie utilisée au sein du réseau Polygon.

« L’équipe de développement de base de Polygon, avec l’aide de la plate-forme de bug bounty Immunefi, a réussi à corriger une vulnérabilité critique du réseau. Compte tenu de la nature de cette mise à niveau, elle devait être exécutée sans trop attirer l’attention », a déclaré Polygon dans un communiqué publié mercredi.

Tout ce que vous devez savoir sur la récente mise à jour du réseau Polygon.
Un partenaire de sécurité a découvert une vulnérabilité
Le correctif a été immédiatement introduit
Les validateurs ont amélioré le réseau
Aucun dommage matériel au protocole/utilisateurs finaux
Les chapeaux blancs ont reçu une prime https://t.co/oyDkvohg33

— Polygone | $MATIC(@0xPolygone) 29 décembre 2021

Le 3 décembre, un groupe de pirates informatiques au chapeau blanc a informé Immunefi – qui héberge le programme de primes de bogues de Polygon – de la vulnérabilité du contrat de genèse de la preuve de participation du réseau, selon le billet de blog.

Avant que l’équipe de Polygon ne puisse remédier à la vulnérabilité, un pirate informatique malveillant a utilisé l’exploit pour voler environ 801 601 MATIC, d’une valeur d’environ 2 millions de dollars à l’époque, indique le message.

Polygon dit qu’il prendra en charge le coût du vol.

« Tous les projets qui réussissent tôt ou tard se retrouvent tôt ou tard dans cette situation », déclare Jaynti Kanani, co-fondateur de Polygon. « Ce qui est important, c’est qu’il s’agissait d’un test de la résilience de notre réseau ainsi que de notre capacité à agir de manière décisive sous pression. Compte tenu de l’enjeu, je pense que notre équipe a pris les meilleures décisions possibles compte tenu des circonstances. »

Le billet de blog de Polygon indique qu’il a pu corriger « immédiatement » la vulnérabilité avec l’aide de pirates informatiques et de l’équipe d’experts d’Immunefi. La mise à niveau a été mise en œuvre le 5 décembre.

« Le validateur et les communautés de nœuds complets ont été informés et se sont ralliés aux principaux développeurs pour mettre à niveau 80% du réseau dans les 24 heures sans interruption », indique le message.

Polygon n’a pas immédiatement répondu à la demande d’Information Security Media Group de détails techniques sur la vulnérabilité et les risques spécifiques qu’elle posait.

La vulnérabilité

Immunefi, dans un article de Medium, indique que la vulnérabilité consistait en un manque de vérifications de solde/allocation dans la fonction de transfert du contrat MRC20 de Polygon et aurait permis à un attaquant de voler tous les MATIC disponibles de ce contrat.

« La norme MRC20 est principalement utilisée pour la possibilité de transférer MATIC sans gaz, ce qui, avec Ether, est impossible à faire. Lorsque vous envoyez de l’Ether, vous effectuez une transaction qu’un portefeuille doit signer », explique Immunefi. « Les transferts MATIC sans gaz sont facilités par la fonction transferWithSig(). L’utilisateur qui possède les jetons signe un ensemble de paramètres comprenant l’opérateur, le montant, le nonce et l’expiration. »

Une transaction sans gaz est une transaction dans laquelle un tiers envoie la transaction de quelqu’un d’autre et absorbe ce que l’on appelle le coût du « gaz ».

Immunefi n’a pas immédiatement répondu à la demande d’Information Security Media Group pour des détails supplémentaires sur les spécifications de la vulnérabilité et le processus de sa découverte.

Prime aux insectes

Polygon a versé une prime totale de 3,46 millions de dollars à deux pirates informatiques qui ont découvert le bogue, selon le billet de blog. Leon Spacewalker, le premier pirate informatique à chapeau blanc à signaler la faille de sécurité le 3 décembre, sera récompensé par 2,2 millions de dollars de pièces stables, a déclaré Immunefi. Il indique que le deuxième pirate informatique, qui n’était appelé que Whitehat2, recevra 500 000 MATIC (actuellement plus de 1,2 million de dollars) de Polygon.

Spacewalker n’a pas répondu à la demande de commentaires de l’ISMG.

Problèmes de transparence

Twitter est en effervescence avec des inquiétudes quant à la façon dont Polygon a traité la vulnérabilité.

Nathan Worsley, ingénieur MEV et constructeur DeFi, a tweeté : « Sommes-nous tous censés nous taire et oublier le fait qu’il y a plus d’une semaine, Polygon a forgé sa blockchain au milieu de la nuit sans avertissement à un complètement fermé -source genesis et vous n’avez toujours pas vérifié le code ou expliqué ce qui se passe ? »

Nous investissons désormais beaucoup plus dans la sécurité et nous nous efforçons d’améliorer les pratiques de sécurité dans tous les projets Polygon.

Dans le cadre de cet effort, nous travaillons avec plusieurs groupes de chercheurs en sécurité, des pirates informatiques, etc. L’un de ces partenaires a découvert un..

– Mihailo Bjelic (@MihailoBjelic) 15 décembre 2021

Polygon dit qu’il existe une « tension naturelle entre la sécurité et la transparence, qui sont toutes deux les valeurs fondamentales de Polygon ».

« Notre divulgation initiale était minime car nous suivons la politique de correctifs silencieux introduite et utilisée par les Geth [an Ethereum software client] équipe. Dans l’ensemble, l’équipe de développement de base a trouvé le meilleur équilibre possible entre ouverture et faire ce qui est le mieux pour la communauté, les partenaires et l’écosystème au sens large dans le traitement de ce problème extrêmement urgent et sensible. Mais vous pouvez en être le juge », dit Polygon.