Polygon官方12月29日发布声明,表示在12月4日进行的硬分叉升级中,已经修补一个足以盗领总供应量92%MATIC的超级漏洞,为免打草惊蛇故在升级后才公布,然而,已有黑帽骇客借此盗走了801,601枚MATIC。
漏洞空前巨大、官方决定悄悄修补以免打草惊蛇
根据官方的《关于本次升级,你该知道的两三事》声明,12月3日有白帽骇客将Polygon创世合约中的超级漏洞通报给漏洞赏金平台Immunefi,该漏洞允许攻击者通过MRC20合约转移函数缺乏限额检查的问题,允许骇客盗取超过92亿枚MATIC(价值超过240亿美元),而MATIC的总量也不过100亿,足见该漏洞之严重性。
由于兹事体大,若提早惊动骇客可能会造成更多损失,Polygon官方决定遵循以太坊客户端Geth采用的静默补丁政策,意即先补漏洞再行公布。在修补程式出炉后,Polygon在12月5日悄悄的于区块高度22156660启动硬分叉升级,最终成功将惊天漏洞补上。
骇客仍然得手200万美元、官方将全额承担
尽管Polygon团队的动作迅速,但还是有骇客早一步发现漏洞,在官方完成测试网升级、准备启动主网更新之间的空隙时发动攻击,盗走了801,601枚MATIC(现值约200万美元)。
对于损失的金额,Polygon官方表示会全额负担,此外Polygon官方也向揭发此漏洞的两位白帽骇客(一位昵称Spacewalker、另一位匿名)提供346万美元的赏金,前者拿到价值220万美元的稳定币、后者则拿到了50万枚MATIC。
Polygon的共同创办人Jaynti Kanani对此事件表示:这是一次Polygon网络弹性、以及在压力下团队的执行力如何的考验,考虑到风险的巨大程度,我相信我们的团队已经在这个状况下做出最好的决定。
截稿前MATIC报价为2.4893美元,已经连续三日走跌、累积跌幅达15%。