Polygon, uma solução de escalabilidade para a rede Ethereum, deu uma recompensa de US$ 2 milhões para um hacker que descobriu uma vulnerabilidade que havia colocado US$ 850 milhões de capital em risco.
De acordo com a Immunefi, plataforma de serviços de segurança e de “caça a bugs” (do inglês “bug bounty”) e responsável pelo programa de recompensas da Polygon, essa foi a maior recompensa paga no mundo das Finanças Descentralizadas (DeFi).
A vulnerabilidade, encontrada por Gerhard Wagner na Polygon Plasma Bridge em 5 de outubro, permitiu que um hacker entrasse e saísse 223 vezes da ponte.
Polygon Plasma Bridge é um canal de transações de confiança mínima (“trustless”) que garante a comunicação entre a Polygon (anteriormente conhecida como Matic) e as redes Ethereum, permitindo a movimentação de tokens entre os dois blockchains.
De acordo com um comunicado “post-mortem” compartilhado com o Decrypt, um ataque lançado com apenas US$ 100 mil resultaria em um prejuízo de US$ 22,3 milhões ou em um total combinado de aproximadamente US$ 850 milhões para uma série de ataques.
A Polygon demorou 30 minutos para começar a solucionar o problema após Wagner ter informado sobre a vulnerabilidade. A falha foi corrigida e nenhum fundo de usuários foi afetado.
“Parabenizamos Gerhard por seu incrível trabalho e excelente relatório e apreciamos sua rápida resposta, imediata correção e o rápido pagamento pela Polygon”, afirmou Mitchell Amador, fundador e CEO da Immunefi.
O programa de “caça a bugs” da Polygon
Em setembro, a equipe da Polygon lançou o programa para que a equipe eliminasse possíveis falhas de segurança.
Basicamente, o programa de caça a bugs é um convite aberto para que “hackers do bem” (ou “white-hat hackers”, no inglês) descubram e informem vulnerabilidades nos contratos autônomos e nas aplicações descentralizadas (dapps) da Polygon.
Pesquisadores de segurança serão recompensados por seus esforços com base no Sistema de Classificação de Gravidade e Vulnerabilidade da Immunefi, que classifica ameaças de acordo com a gravidade dos problemas identificados.
A recompensa mínima possível é de US$ 1 mil para ameaças de baixo nível enquanto a máxima é de US$ 2 milhões, concedida para quem descobrir vulnerabilidades críticas, assim como Wagner descobriu.
“Esperamos que essa recompensa na Immunefi sirva de exemplo para outros projetos de Web 3.0 e atraia mentes brilhantes da comunidade de pesquisas de segurança por ‘hackers do bem’ e torne [o setor] mais resiliente a futuras ameaças de segurança”, disse Jaynti Kanani, cofundador da Polygon.
Anteriormente, a rede Polygon havia passado por uma auditoria bem-sucedida em seus contratos autônomos, realizada pela empresa de cibersegurança Certik. Atualmente, a Polygon está classificada em 17º lugar no painel de segurança da Certik.
*Traduzido e editado por Daniela Pereira do Nascimento com autorização da Decrypt.co.