Points clés à retenir
- JeuxServer a corrigé un bogue « de grande gravité » qui aurait permis à un attaquant de drainer tous les fonds du contrat de gestionnaire de dépôt.
- Niv Yehezkel, qui a découvert et signalé le bogue, a été récompensé de 75 000 $.
- Il a déclaré sur Twitter que la vulnérabilité mettait en danger des milliards de dollars. Immunefi, quant à lui, a déclaré que la vulnérabilité était inexploitable au moment du rapport.
La plate-forme de primes aux bogues Immunefi a révélé que Polygon a récemment corrigé une vulnérabilité de « haute gravité » dans le système Proof-of-Stake du réseau qui mettait en danger des milliards de dollars.
Polygon Dodges Critical Hack
Polygon, une sidechain Proof-of-Stake sur Ethereum, a corrigé un bug de « consensus bypass » qui aurait pu entraîner des milliards de dollars de pertes.
Selon un correctif de bogue Immunifi rapport publiée lundi, la vulnérabilité, initialement signalée par whitehat Niv Yehezkel le 15 janvier, aurait permis à un attaquant de contourner le seuil de consensus du réseau et de « drainer tous les fonds du gestionnaire de dépôt, effectuer des retraits illimités, DoS [Denial-of-Service attack] et plus. »
Yehezkel, qui a reçu une prime de 75 000 $ de JeuxServer pour avoir signalé le bogue, a déclaré sur Twitter aujourd’hui que la vulnérabilité mettait en danger des milliards de dollars.
Je suis ravi de partager mes recherches sur le pont Polygon to Ethereum PoS, dans lequel j’ai trouvé une vulnérabilité de contournement consensuel qui met des milliards de dollars en danger. Merci à l’équipe Immunefi et à l’équipe Polygon pour la réponse rapide, le travail conjoint professionnel et la mise à jour rapide. https://t.co/AKT0HrbWOE
– niv (@invlpgtbl) 21 février 2022
Selon le rapport d’Immunifi, la vulnérabilité a affecté le système Proof-of-Stake dans le contrat intelligent de Polygon sur Ethereum. Notamment, un attaquant aurait dû remplir trois conditions très spécifiques pour exploiter la vulnérabilité. Cependant, le respect des critères leur aurait permis d’épuiser tous tokens auprès du gestionnaire de dépôts du réseau.
« Après ce contournement de consensus, l’attaquant peut envoyer des points de contrôle malveillants qui simulent un retrait de tokens de Polygon qui draine essentiellement tout tokens du gestionnaire de dépôt, réclamant tous les frais heimdall stockés et plus encore », indique le rapport.
Commentant la gravité potentielle de l’exploit, Duncan Townsend, directeur de la technologie d’Immunefi, a déclaré Briefing sur la cryptographie qu' »aucune somme d’argent n’était en jeu car le bogue n’était pas exploitable au moment du rapport ». Il a également déclaré qu’il pensait que la récompense de 75 000 $ était « généreuse » compte tenu de la gravité de la vulnérabilité.
Selon les données de Defi Llama, Polygon détient plus de 4,17 milliards de dollars de valeur totale verrouillée dans son écosystème DeFi. C’est la sidechain la plus utilisée d’Ethereum, qui a plus de valeur que les réseaux de couche 2 comme Arbitrum et Optimism. Plus tôt ce mois-ci, il a levé 450 millions de dollars lors d’un cycle d’investissement dirigé par la célèbre société de capital-risque Sequoia.
JeuxServer a traité plusieurs incidents de sécurité similaires dans le passé. En octobre, il a corrigé un bogue qui aurait pu entraîner une 850 millions de dollars exploit, payant une prime de 2 millions de dollars au chapeau blanc qui l’a révélé. En décembre, un hacker a volé 1,6 million de dollars dans MATIC tokens en raison d’un autre bogue critique dans le réseau. JeuxServer a évité une crise de 20 milliards de dollars en réagissant rapidement à l’incident.
L’équipe Polygon n’a pas pu être jointe pour commenter au moment de la presse. JeuxServer a également choisi de ne pas partager les détails du correctif de bogue sur ses canaux de communication.
Divulgation: Au moment de la rédaction de cet article, l’auteur de cette fonctionnalité possédait ETH et plusieurs autres crypto-monnaies.
Guide de l’agriculture de rendement, du jalonnement et de l’extraction de liquidités
L’agriculture de rendement est sans doute le moyen le plus populaire de gagner un retour sur les actifs cryptographiques. Essentiellement, vous pouvez gagner un revenu passif en déposant de la crypto dans un pool de liquidités. Vous pouvez penser à ces liquidités…
Un hacker a volé 1,6 million de dollars après avoir exploité un bogue Polygon
L’équipe de développement principale derrière JeuxServer a révélé qu’un bogue critique dans l’un de ses contrats a été brièvement exploité pour 1,6 million de dollars. Polygon a été secrètement hardforké pour corriger le…
Polygon Swerves 850 millions de dollars de piratage sur le pont Ethereum
JeuxServer a corrigé une vulnérabilité critique qui affectait son pont plasma. Polygon paie 2 millions de dollars de la sidechain Bounty Ethereum Polygon a corrigé un bogue critique sur son contrat Plasma Bridge. UNE…
Polygon obtient une nouvelle plate-forme de contenu NFT
Cere Network lance un produit de création de contenu basé sur NFT appelé DaVinci on Polygon. Cere Network lance DaVinci sur Polygon Polygon se dote d’une nouvelle plateforme NFT destinée aux créateurs. Le…
Après mon master en Finance à l’université de Paris-Saclay, j’ai décidé de m’investir dans ce monde qui me passionne depuis des années, celui de la blockchain et des crypto monnaies, du web3 et de bien plus encore. Je partage avec vous les actualités du monde des cryptos que je trouve dans la presse internationale.