Ethereum sidechain Polygon đã vá một lỗi quan trọng trên hợp đồng Plasma Bridge của mình. Một báo cáo phân tích chuỗi từ nền tảng phân tích lỗi Immunefi tiết lộ rằng họ đã phát hiện ra vấn đề và nó đã được vá trước khi bất kỳ đợt hack nào xảy ra hoặc tiền nào bị mất.
Polygon là mạng sidechain lớn nhất trên Ethereum. Nó vận hành Plasma Bridge, một cổng token hai chiều cho phép người dùng chuyển tài sản từ mạng chính Ethereum sang Polygon và rút chúng trở lại Ethereum.
Plasma Bridge của Polygon có cơ chế thoát an ninh liên quan đến việc đốt token đã được yêu cầu rút về mainnet. Vào ngày 5 tháng 10, hacker gerhard Wagner đã tìm thấy một lỗ hổng bảo mật có thể cho phép tin tặc vượt qua cơ chế thoát khỏi cầu. Lỗ hổng chính ảnh hưởng đến Rút Manager, một chức năng cụ thể trong hợp đồng cầu nối xác thực giao dịch ghi trong các khối trước đó để rút tài sản trở lại Ethereum.
Wagner đã báo cáo lỗ hổng cho Immunefi, sau đó thông báo cho Polygon. Theo phân tích từ Immunefi, nhóm Polygon “ngay lập tức bắt đầu khắc phục vấn đề cơ bản” và nó đã được vá một cách an toàn ngay sau đó. Lỗi này được cho là đủ nghiêm trọng để nó có thể cho phép tin tặc rút cạn toàn bộ giá trị bị khóa trên cầu Plasma, khoảng 850 triệu USD vào thời điểm đó.
Nhóm Polygon đã thưởng cho Wagner 2 triệu đô la, khoản tiền thưởng cao nhất được trả trong không gian tiền điện tử cho đến nay. Trong một tuyên bố được chia sẻ với Crypto Briefing, đồng sáng lập Polygon Jaynti Kanani nói rằng bảo mật không nên là suy nghĩ sau khi xây dựng Web 3.
Bình luận về vấn đề này, Kanani nói thêm rằng Immunefi đã giúp nhóm Polygon “kết nối với các nhà nghiên cứu bảo mật để làm cho mạng Polygon Proof-of-Stake trở nên linh hoạt hơn”.
Vụ việc như một lời nhắc nhở về các vấn đề an ninh với các cầu tương tác. Khi một loạt các blockchain Lớp 1 đã chứng kiến sự tăng trưởng bùng nổ, các cầu đã tăng vọt về mức độ phổ biến. Tuy nhiên, có những vấn đề bảo mật lớn với nhiều cây cầu, dẫn đến một số cuộc tấn công trong đó tin tặc đã khai thác lỗ hổng.
Trong một sự cố đáng chú ý, 611 triệu Đô la đã bị đánh cắp từ một dịch vụ cầu xuyên chuỗi có tên PolyNetwork. Các sự cố cầu xuyên chuỗi khác trên pNetwork và Thorchain cũng bị lỗ hổng hàng triệu đô la trong những tháng gần đây.
Theo cryptobriefing
