הבאג תוקן: למעלה מ-9 מיליארד מטבעות MATIC היו בסכנת גניבה

באג חמור בפרוטוקול של רשת פוליגון אשר זוהה על ידי האקרים חשף פירצה שהייתה עלולה לאפשר לתוקפים לגנוב כ-90% מכל המטבעות
polygon bug

רשת פוליגון הייתה בסכנה לאבד כמעט את כל מטבעות המאטיק (MATIC) שלה, השווים כ-24 מיליארד דולר, כתוצאה מבאג. הבאג, או הפירצה בקוד, היה קשור בפרוטוקול הוכחת ההחזקה (Proof Of Stake) של הרשת. אם תוקפים היו מגלים את הפירצה, זה היה יכול לאפשר להם לגנוב למעלה מ-9.2 מיליארד מטבעות מאטיק, מתוך המכסה המקסימלית של 10 מיליארד.

הפירצה התגלתה על ידי האקר כובע לבן בשם ליאון ספייסווקר, ודווחה לרשת באמצעות פלטפורמת Immunefi. הפלטפורמה מתווכת בין פרויקטים של כלכלה מבוזרת (DeFi) לבין האקרים אשר בוחרים לחשוף פרצות ובאגים, לדווח עליהן ולעזור לתקן אותן בתמורה לכסף – ולא לנצל אותן לרעה.

מהירות קריטית

באותו היום שספייסווקר מצא את הבאג, פלטפורמת Immunefi דיווחה לצוות של פוליגון אשר מיהר לתקן את הבעיה ולעדכן את הרשת. בזמן שהצוות עבד על בדיקה של התיקון ברשת הניסיונית, לפני העדכון המלא על הרשת הראשית, האקר (כובע שחור) ניצל את הפירצה וגנב למעלה מ-800 אלף מטבעות מאטיק (בשווי של כ-2 מיליון דולר). מפוליגון נמסר שהם ישאו בעלויות של הגניבה הזו.

לאחר הגניבה, האקר כובע לבן נוסף גילה את הפירצה ודיווח גם הוא ל-Immunefi. הדבר הוביל את צוות פוליגון לפרסם ב-5 בדצמבר עדכון חירום עבור הרשת הראשית ולשדרג במהירות את הרשת במזלוג קשיח. מזלוג קשיח הוא פיצול אשר משאיר מאחור את אלו אשר לא מעדכנים אל התוכנה החדשה. ואכן, לפי הדיונים בערות הדיסקורד של הפרויקט, רבים ממאמתי רשת פוליגון לא היו מוכנים לשדרוג ונותקו מהרשת.

אבטחה מול שקיפות

אף על פי שהמקרה נחשף בטוויטר כבר באמצע החודש – בעקבות החשד של משתמשים בנוגע לעדכון מהותי, מהיר ומפתיע ללא הסברים – ההודעה הרשמית של פוליגון פורסמה רק אתמול. רבים מהמאמתים של רשת פוליגון הביעו את הביקורת והכעס שלהם כלפי השתיקה של המפתחים בנוגע לשדרוג אשר בד"כ מדובר באופן גלוי ושקוף ומבעוד מועד.

על פי הנחיות הפרוטוקול "silent patches" של צוות מפתחי אתריום, על פרויקטים ומפתחים לדווח על תיקוני באגים מהותיים בין 4 ל-8 שבועות לאחר העדכון, במטרה למנוע את הסיכון שהבאגים ינוצלו לרעה בזמן שהרשת מתעדכנת. הניסיון למנוע מתוקפים לקבל מידע לפני שהעדכון מושלם "עשוי להיות שווה את חוסר השקיפות הזמנית."

פרסים להאקרים הטובים

פרויקטים כמו Immunefi ופרסים אשר מוצעים להאקרים עוזרים להגביר את האבטחה בעולם המטבעות הדיגיטליים והחוזים החכמים. ככל שיהיו יותר מענקים שהאקרים יכולים לקבל על השימוש הטוב בידע שלהם, כך יקטן התמריץ שלהם להשתמש בו לרעה. 

צוות פוליגון העניק כ-3.46 מיליון דולר להאקרים שדיווחו על הפירצה. כ-2.2 מיליון דולר הוענקו להאקר ספייסווקר במטבעות יציבים (סטייבלקוינס), וההאקר האנונימי השני קיבל 500,000 מטבעות מאטיק (בשווי של כ-1.27 מיליון דולר). 

כנראה שהתזמון של ההודעה של צוות מאטיק טובה לא רק כדי למנוע תקיפות של האקרים, אלא גם כדי לא להפחיד את המשקיעים. עכשיו שנראה שהמקרה טופל כראוי, לא נראה שהפרסום השפיע יותר מדיי על המחיר של מאטיק העומד כעת על כ-2.55 דולר.

קבלו את העדכונים והחדשות הכי חמות מעולם הקריפטו ישירות למייל שלכם:

שתפו:

דאיה מורטי

דאיה מורטי

דאיה הינו מורה ויוצר תוכן בתחום הקריפטו, שאוהב לחקור את התופעות הפסיכולוגיות, החברתיות והכלכליות בתחום. בשנת 2013 כתב תוכן באתר 'אלף ביט', ומאז נהנה לצפות ולהשתתף בטרנספורמציה שהביטקוין מביא לעולם. בזמנו הפנוי הוא אוהב לתרגל יוגה ומדיטציה. בעל הבלוג Bitcoin4U. לבלוג: https://bitcoin4u.co.il/
דאיה מורטי

דאיה מורטי

דאיה הינו מורה ויוצר תוכן בתחום הקריפטו, שאוהב לחקור את התופעות הפסיכולוגיות, החברתיות והכלכליות בתחום. בשנת 2013 כתב תוכן באתר 'אלף ביט', ומאז נהנה לצפות ולהשתתף בטרנספורמציה שהביטקוין מביא לעולם. בזמנו הפנוי הוא אוהב לתרגל יוגה ומדיטציה. בעל הבלוג Bitcoin4U. לבלוג: https://bitcoin4u.co.il/

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

מומחה מומלץ

לורם איפסום דולור סיט אמט, קונסקטורר אדיפיסינג אלית לפרומי בלוף קינץ תתיח לרעח. לת צשחמי צש בליא, מנסוטו צמלח לביקו ננבי, צמוקו בלוקריה.

cropped-logo-cryptojungle-2.png

להתחברות מלאו שם משתמש וסיסמה

דילוג לתוכן