Polygon官方12月29日釋出宣告,表示在12月4日進行的硬分叉升級中,已經修補一個足以盜領總供應量92%MATIC的超級漏洞,為免打草驚蛇故在升級後才公佈,然而,已有黑帽駭客藉此盜走了801,601枚MATIC。
漏洞空前巨大、官方決定悄悄修補以免打草驚蛇
根據官方的《關於本次升級,你該知道的兩三事》宣告,12月3日有白帽駭客將Polygon創世合約中的超級漏洞通報給漏洞賞金平臺Immunefi,該漏洞允許攻擊者透過MRC20合約轉移函式缺乏限額檢查的問題,允許駭客盜取超過92億枚MATIC(價值超過240億美元),而MATIC的總量也不過100億,足見該漏洞之嚴重性。
由於茲事體大,若提早驚動駭客可能會造成更多損失,Polygon官方決定遵循以太坊客戶端Geth採用的靜默補丁政策,意即先補漏洞再行公佈。在修補程式出爐後,Polygon在12月5日悄悄的於區塊高度22156660啟動硬分叉升級,最終成功將驚天漏洞補上。
駭客仍然得手200萬美元、官方將全額承擔
儘管Polygon團隊的動作迅速,但還是有駭客早一步發現漏洞,在官方完成測試網升級、準備啟動主網更新之間的空隙時發動攻擊,盜走了801,601枚MATIC(現值約200萬美元)。
對於損失的金額,Polygon官方表示會全額負擔,此外Polygon官方也向揭發此漏洞的兩位白帽駭客(一位暱稱Spacewalker、另一位匿名)提供346萬美元的賞金,前者拿到價值220萬美元的穩定幣、後者則拿到了50萬枚MATIC。
Polygon的共同創辦人Jaynti Kanani對此事件表示:這是一次Polygon網路彈性、以及在壓力下團隊的執行力如何的考驗,考慮到風險的巨大程度,我相信我們的團隊已經在這個狀況下做出最好的決定。
截稿前MATIC報價為2.4893美元,已經連續三日走跌、累積跌幅達15%。
