В начале этого месяца основная команда разработчиков Polygon с помощью платформы “bug bounty” Immunefi успешно устранила критическую сетевую уязвимость. Учитывая характер этого обновления, его нужно было выполнить, не привлекая слишком много внимания. Теперь мы готовы дать полный отчет о том, что произошло.

Группа белых хакеров уведомила компанию Immunefi, которая является организатором нашего баг-баунти, об уязвимости в контракте Polygon PoS genesis 3 декабря. Основная команда Polygon связалась с этой группой и экспертной группой Immunefi и немедленно представила исправление. Сообщества валидаторов и полных узлов были оповещены, и они сплотились вокруг разработчиков ядра, чтобы обновить 80% сети в течение 24 часов без остановки.

Обновление было выполнено 5 декабря на блоке № 22156660 без существенного влияния на жизнеспособность и производительность сети. Уязвимость была устранена, ущерб был смягчен, при этом не было нанесено существенного вреда протоколу и его конечным пользователям. Все контракты Polygon и реализация узлов остаются полностью открытыми.

“Все проекты, которые достигают хоть какой-то степени успеха, рано или поздно оказываются в такой ситуации”, – сказал соучредитель Polygon Джайнти Канани. “Важно то, что это была проверка устойчивости нашей сети, а также нашей способности действовать решительно под давлением. Учитывая, как много было поставлено на карту, я считаю, что наша команда приняла наилучшие решения, возможные в данных обстоятельствах”.

Существует естественное противоречие между безопасностью и прозрачностью, которые являются краеугольными ценностями Polygon. Наше первоначальное раскрытие информации было минимальным, потому что мы следуем политике “тихих патчей”, введенной и используемой командой Geth. В целом, основная команда разработчиков нашла оптимальный баланс между открытостью и тем, что лучше для сообщества, партнеров и всей экосистемы при решении этой чрезвычайно срочной и деликатной проблемы. Но судить об этом можете вы сами.

Вот хронология событий, как они разворачивались:

3 декабря, 10:11 (UTC) Первый белый хакер отправляет сообщение о возможном эксплойте в Immunefi, которая проводит программу Polygon по получению вознаграждения в размере 2 миллионов долларов.
3 декабря, 16:18 (UTC)Polygon подтверждает наличие уязвимости. В течение часа рассматриваются различные варианты. Принимается решение о скорейшем обновлении основной сети.
Дек. 3, 20:18 (UTC)Команда Polygon предоставляет релиз Bor v0.2.12-beta1 валидаторам в тестовой сети Mumbai в блоке #22244000.
Дек. 4, 04:26 (UTC)Обновление Mumbai завершено. Команда Polygon, white hat и Immunefi валидируют исправление и готовятся к обновлению основной сети.
Дек. 4, 13:46 (UTC)Уязвимость используется для кражи токенов MATIC, первой в серии переводов, в результате которых в общей сложности удаляется 801 601 MATIC.
Дек. 4, 18:53 (UTC)Второй белый хакер отправляет отчет в Immunefi.
4 декабря, 21:08 (UTC)Команда Polygon сообщает валидаторам об “аварийном обновлении бора для мейннета”.
Дек. 5, 07:27 (UTC)Обновление Mainnet завершено для +90% валидаторов на блоке #22156660.
Polygon выплатил в общей сложности около $3,46 млн в качестве баунти двум “белым хакерам”, которые помогли обнаружить ошибку. Несмотря на все наши усилия, злобный хакер смог использовать эксплойт для кражи 801 601 MATIC до того, как обновление сети вступило в силу. Фонд возьмет на себя расходы, связанные с кражей.

“Реакция команды Polygon на это разоблачение была быстрой и эффективной”, – сказал главный технический директор Immunefi Дункан Таунсенд. То, что этот инцидент закончился благополучно, свидетельствует об их компетентности”. Тесная координация с валидаторами Polygon помогла предотвратить то, что могло бы стать крупной катастрофой”.

В течение нескольких дней после обновления основная команда Polygon провела обширное вскрытие и определила ряд существующих процессов, которые могут быть улучшены, а также меры, которые сделают сеть и наше сообщество более устойчивыми в будущем. Эти меры включают следующее:

Обновление наших процессов критического реагирования;
Консолидация контактной информации партнеров и каналов связи;
определение и формализация резервных копий ключевых внутренних ресурсов для устранения единых точек отказа в критических ситуациях.
Этот опыт подчеркнул важность инвестиций в экосистему партнеров-экспертов в области безопасности. Мы очень благодарны Immunefi за всю их помощь. В конце концов, это позволило Polygon еще на шаг приблизиться к тому, чтобы стать самым проверенным в боях решением для масштабирования Ethereum.

Вы можете прочитать технический отчет Immunefi об исправлении здесь. Сертификат аудита безопасности, выполненный Quantstamp, можно посмотреть здесь. Чтобы быть в курсе последних событий, загляните в наш блог.