Polygon paga US$ 2 milhões a hacker que descobriu falha que colocava US$ 850 milhões em risco

Depois que o “hacker do bem” encontrou a vulnerabilidade, a equipe da Polygon agiu imediatamente para evitar que fundos de usuários fossem roubados
Imagem da matéria: Polygon paga US$ 2 milhões a hacker que descobriu falha que colocava US$ 850 milhões em risco

Foto: Shutterstock

Polygon, uma solução de escalabilidade para a rede Ethereum, deu uma recompensa de US$ 2 milhões para um hacker que descobriu uma vulnerabilidade que havia colocado US$ 850 milhões de capital em risco.

De acordo com a Immunefi, plataforma de serviços de segurança e de “caça a bugs” (do inglês “bug bounty”) e responsável pelo programa de recompensas da Polygon, essa foi a maior recompensa paga no mundo das Finanças Descentralizadas (DeFi).

Publicidade

A vulnerabilidade, encontrada por Gerhard Wagner na Polygon Plasma Bridge em 5 de outubro, permitiu que um hacker entrasse e saísse 223 vezes da ponte.

Polygon Plasma Bridge é um canal de transações de confiança mínima (“trustless”) que garante a comunicação entre a Polygon (anteriormente conhecida como Matic) e as redes Ethereum, permitindo a movimentação de tokens entre os dois blockchains.

De acordo com um comunicado “post-mortem” compartilhado com o Decrypt, um ataque lançado com apenas US$ 100 mil resultaria em um prejuízo de US$ 22,3 milhões ou em um total combinado de aproximadamente US$ 850 milhões para uma série de ataques.

A Polygon demorou 30 minutos para começar a solucionar o problema após Wagner ter informado sobre a vulnerabilidade. A falha foi corrigida e nenhum fundo de usuários foi afetado.

Publicidade

“Parabenizamos Gerhard por seu incrível trabalho e excelente relatório e apreciamos sua rápida resposta, imediata correção e o rápido pagamento pela Polygon”, afirmou Mitchell Amador, fundador e CEO da Immunefi.

O programa de “caça a bugs” da Polygon

Em setembro, a equipe da Polygon lançou o programa para que a equipe eliminasse possíveis falhas de segurança.

Basicamente, o programa de caça a bugs é um convite aberto para que “hackers do bem” (ou “white-hat hackers”, no inglês) descubram e informem vulnerabilidades nos contratos autônomos e nas aplicações descentralizadas (dapps) da Polygon.

Pesquisadores de segurança serão recompensados por seus esforços com base no Sistema de Classificação de Gravidade e Vulnerabilidade da Immunefi, que classifica ameaças de acordo com a gravidade dos problemas identificados.

A recompensa mínima possível é de US$ 1 mil para ameaças de baixo nível enquanto a máxima é de US$ 2 milhões, concedida para quem descobrir vulnerabilidades críticas, assim como Wagner descobriu.

Publicidade

“Esperamos que essa recompensa na Immunefi sirva de exemplo para outros projetos de Web 3.0 e atraia mentes brilhantes da comunidade de pesquisas de segurança por ‘hackers do bem’ e torne [o setor] mais resiliente a futuras ameaças de segurança”, disse Jaynti Kanani, cofundador da Polygon.

Anteriormente, a rede Polygon havia passado por uma auditoria bem-sucedida em seus contratos autônomos, realizada pela empresa de cibersegurança Certik. Atualmente, a Polygon está classificada em 17º lugar no painel de segurança da Certik.

*Traduzido e editado por Daniela Pereira do Nascimento com autorização da Decrypt.co.