La chasse aux primes dans l’arène de la blockchain semble être assez lucrative. Polygon Technology a révélé mercredi qu’une récente mise à jour de son réseau principal avait été publiée pour corriger un bogue qui aurait pu être exploité pour voler plus de 24 milliards de dollars de jeton MATIC.
Polygon a déclaré que la faille avait été divulguée par « Leon Spacewalker » via la plate-forme de primes de bogues Immunefi le 3 décembre. La société a préparé un correctif pour corriger la faille plus tard dans la journée et l’a publié sur le réseau de test de Mumbai le 4 décembre. Cependant, le bogue a été exploité. plus tard dans la journée pour voler 2 millions de dollars de MATIC sur le réseau principal.
Un autre chercheur en sécurité a partagé des détails sur la vulnérabilité de Polygon quelques heures après le vol du MATIC. La société a fini par payer les deux chasseurs de primes pour leur divulgation. Immunefi a déclaré que Spacewalker avait reçu 2,2 millions de dollars en pièces stables; le deuxième chercheur a gagné 1,27 million de dollars de MATIC.
« Cette expérience a mis en évidence l’importance d’investir dans un écosystème de partenaires experts en sécurité », a déclaré Polygon. « Nous sommes très reconnaissants à Immunefi pour toute son aide. En fin de compte, cela a rapproché Polygon pour devenir la solution de scaling la plus testée au combat pour Ethereum. » Malheureusement, c’est au mieux un honneur douteux.
Polygon a déclaré avoir publié le correctif pour corriger cette faille le 5 décembre. Cependant, il n’a fourni d’informations supplémentaires sur l’incident que le 29 décembre. impact potentiel des vulnérabilités qui affectent le réseau Ethereum.
La société a déclaré qu’elle répondait également à l’incident en :
- Mettre à jour nos processus de réponse critique ;
- Consolider les coordonnées des partenaires et les canaux de communication ;
- Identification et formalisation des sauvegardes pour les ressources internes clés afin d’éliminer les points de défaillance uniques lors de situations urgentes
« Dans le grand schéma des choses, et en regardant vers l’avenir de DeFi, ce ne sera pas le dernier cas où une vulnérabilité grave sera trouvée », a déclaré Immunefi. « Alors que de plus en plus de fonds s’accumulent dans DeFi à des taux record, de plus en plus de projets auront également des exploits critiques enfouis dans leur code. C’est inévitable. La seule différence est de savoir si ces futurs projets prennent des mesures de sécurité complètes et font tout leur possible pour protéger leur code. »
Ce n’est peut-être pas une bonne nouvelle pour ces projets de finance décentralisée (DeFi), mais il semble que les chasseurs de primes de bogues puissent gagner de l’argent en recherchant des vulnérabilités. Par exemple, Polygon plafonne théoriquement son programme de primes aux bogues à 2 millions de dollars, mais dans ce cas, il a payé 3,46 millions de dollars « en reconnaissance de la gravité de la vulnérabilité ».
Ce n’est pas non plus la première fois que Polygon repousse les limites de son programme de bug bounty. La société a payé un autre chercheur en sécurité, Gerhard Wagner, 2 millions de dollars en octobre pour une vulnérabilité qui aurait pu être exploitée pour voler 850 millions de dollars de crypto-monnaie. Jusqu’à présent, il a versé plus de 5 millions de dollars au cours des deux derniers mois.