Uma vulnerabilidade “crítica” que colocou em risco US$ 24 bilhões em fundos de usuário foi discretamente corrigida no início deste mês por desenvolvedores da Polygon (MATIC), uma rede de escalonamento de camada 2 da Ethereum.
A exploração foi compartilhada por desenvolvedores na plataforma bug bounty ImmuneFi em 3 de dezembro. Uma atualização foi iniciada em 48 horas e, em uma postagem de blog na quarta-feira, a equipe do Polygon explicou que optou por não revelar o incidente até que fosse corrigido.
“Considerando a natureza dessa atualização, ela teve que ser executada sem atrair muita atenção”, escreveram.
Se deixada sem solução, a vulnerabilidade de contratos inteligentes teria permitido que os invasores cunhassem mais de 9,2 bilhões de tokens MATIC (de um fornecimento total de 10 bilhões) de seu contrato de origem. Mas a execução imediata da atualização do Polygon significou que nenhum dinheiro dos usuários foi perdido e a atualização foi concluída sem problemas.
“Tudo o que você precisa saber sobre a atualização recente da rede Polygon. Um parceiro de segurança descobriu uma vulnerabilidade. O erro foi imediatamente introduzido. Validadores atualizaram a rede. Nenhum dano material ao protocolo / usuários finais. White hats serão recompensados”.
No entanto, a correção não chegou rápido o suficiente para evitar que um invasor mal-intencionado usasse o exploit para roubar mais de 800.000 MATIC (valendo cerca de US$ 1,8 milhão), antes que o patch fosse instituído – uma perda que a Polygon Foundation disse que iria cobrir.
O cofundador do projeto Jaynti Kanani disse que tal situação estava fadada a ocorrer “mais cedo ou mais tarde”, mas o resultado foi uma prova da resiliência da rede.
“Considerando o quanto estava em jogo, acredito que nossa equipe tomou as melhores decisões possíveis dadas as circunstâncias”, disse.
A Polygon, que visa abordar algumas das principais limitações da Ethereum – incluindo rendimento e eficiência de transações – deu grandes passos no ano passado. Mais recentemente, a Uniswap anunciou que usaria a rede para o lançamento da sua versão V3 , levando o MATIC a novas máximas.
O setor de Finanças Descentralizadas (DeFi) sofreu uma série de ataques de alto nível nos últimos meses, a maioria dos quais concentrados em empréstimos rápidos. Cerca de US$ 474 milhões em fundos foram roubados do setor DeFi nos primeiros seis meses de 2021, de acordo com dados da startup forense CipherTrace.
Leia mais: Aprenda a criar um endereço de Bitcoin offline jogando cara ou coroa