רשת פוליגון הייתה בסכנה לאבד כמעט את כל מטבעות המאטיק (MATIC) שלה, השווים כ-24 מיליארד דולר, כתוצאה מבאג. הבאג, או הפירצה בקוד, היה קשור בפרוטוקול הוכחת ההחזקה (Proof Of Stake) של הרשת. אם תוקפים היו מגלים את הפירצה, זה היה יכול לאפשר להם לגנוב למעלה מ-9.2 מיליארד מטבעות מאטיק, מתוך המכסה המקסימלית של 10 מיליארד.
הפירצה התגלתה על ידי האקר כובע לבן בשם ליאון ספייסווקר, ודווחה לרשת באמצעות פלטפורמת Immunefi. הפלטפורמה מתווכת בין פרויקטים של כלכלה מבוזרת (DeFi) לבין האקרים אשר בוחרים לחשוף פרצות ובאגים, לדווח עליהן ולעזור לתקן אותן בתמורה לכסף – ולא לנצל אותן לרעה.
מהירות קריטית
באותו היום שספייסווקר מצא את הבאג, פלטפורמת Immunefi דיווחה לצוות של פוליגון אשר מיהר לתקן את הבעיה ולעדכן את הרשת. בזמן שהצוות עבד על בדיקה של התיקון ברשת הניסיונית, לפני העדכון המלא על הרשת הראשית, האקר (כובע שחור) ניצל את הפירצה וגנב למעלה מ-800 אלף מטבעות מאטיק (בשווי של כ-2 מיליון דולר). מפוליגון נמסר שהם ישאו בעלויות של הגניבה הזו.
לאחר הגניבה, האקר כובע לבן נוסף גילה את הפירצה ודיווח גם הוא ל-Immunefi. הדבר הוביל את צוות פוליגון לפרסם ב-5 בדצמבר עדכון חירום עבור הרשת הראשית ולשדרג במהירות את הרשת במזלוג קשיח. מזלוג קשיח הוא פיצול אשר משאיר מאחור את אלו אשר לא מעדכנים אל התוכנה החדשה. ואכן, לפי הדיונים בערות הדיסקורד של הפרויקט, רבים ממאמתי רשת פוליגון לא היו מוכנים לשדרוג ונותקו מהרשת.
אבטחה מול שקיפות
אף על פי שהמקרה נחשף בטוויטר כבר באמצע החודש – בעקבות החשד של משתמשים בנוגע לעדכון מהותי, מהיר ומפתיע ללא הסברים – ההודעה הרשמית של פוליגון פורסמה רק אתמול. רבים מהמאמתים של רשת פוליגון הביעו את הביקורת והכעס שלהם כלפי השתיקה של המפתחים בנוגע לשדרוג אשר בד"כ מדובר באופן גלוי ושקוף ומבעוד מועד.
על פי הנחיות הפרוטוקול "silent patches" של צוות מפתחי אתריום, על פרויקטים ומפתחים לדווח על תיקוני באגים מהותיים בין 4 ל-8 שבועות לאחר העדכון, במטרה למנוע את הסיכון שהבאגים ינוצלו לרעה בזמן שהרשת מתעדכנת. הניסיון למנוע מתוקפים לקבל מידע לפני שהעדכון מושלם "עשוי להיות שווה את חוסר השקיפות הזמנית."
פרסים להאקרים הטובים
פרויקטים כמו Immunefi ופרסים אשר מוצעים להאקרים עוזרים להגביר את האבטחה בעולם המטבעות הדיגיטליים והחוזים החכמים. ככל שיהיו יותר מענקים שהאקרים יכולים לקבל על השימוש הטוב בידע שלהם, כך יקטן התמריץ שלהם להשתמש בו לרעה.
צוות פוליגון העניק כ-3.46 מיליון דולר להאקרים שדיווחו על הפירצה. כ-2.2 מיליון דולר הוענקו להאקר ספייסווקר במטבעות יציבים (סטייבלקוינס), וההאקר האנונימי השני קיבל 500,000 מטבעות מאטיק (בשווי של כ-1.27 מיליון דולר).
כנראה שהתזמון של ההודעה של צוות מאטיק טובה לא רק כדי למנוע תקיפות של האקרים, אלא גם כדי לא להפחיד את המשקיעים. עכשיו שנראה שהמקרה טופל כראוי, לא נראה שהפרסום השפיע יותר מדיי על המחיר של מאטיק העומד כעת על כ-2.55 דולר.