Ngày 30/12, nền tảng bug bounty Immunefi cho biết đã trao thưởng 2,2 triệu USD cho hacker mũ trắng có tên LeonSpacewalker, người mà trước đó đã báo cáo một lỗ hổng cực kỳ nghiêm trọng với Polygon (MATIC). Đây là mức thưởng bug bounty cá nhân lớn nhất từ trước đến nay được trao cho một hacker mũ trắng.
Cụ thể, lỗ hổng này nằm trong hợp đồng Proof-of-Stake của Polygon (hợp đồng MRC-20), có thể khiến kẻ tấn công chiếm đoạt hợp đồng và ra lệnh phát hành toàn bộ 9,2 tỷ token MATIC (trị giá hơn 24 tỷ USD ở thời điểm thực hiện bài viết) thuộc quyền sở hữu của hợp đồng. Để so sánh thì tổng cung MATIC là 10 tỷ token, đồng nghĩa với việc hacker có thể nắm trong tay mình 92% toàn lượng MATIC được tạo ra.
LeonSpacewalker đã thông tin lỗ hổng đến Immunefi vào ngày 03/12, và nhận thấy được độ nghiêm trọng, Immunefi đã nhanh chóng liên hệ trực tiếp đến đội ngũ Polygon. Polygon xác nhận lỗ hổng là có thật và bắt tay xây dựng bản vá, triển khai nó thành công trên tesnet Mumbai vào ngày 04/12 và sẵn sàng để đưa lên mainnet.
Tuy nhiên, trong khoảng thời gian này, lỗ hổng đã được một kẻ xấu tìm thấy và lợi dụng, làm thất thoát 801.601 MATIC (trị giá khoảng 2 triệu USD). Polygon tuyên bố sẽ tự gánh chịu thiệt hại từ lỗ hổng. Sau đó, một hacker mũ trắng ẩn danh khác cũng phát hiện lỗ hổng trên, báo cáo cho Polygon và được dự án trao thưởng bug bounty hơn 1,27 triệu USD. Đội ngũ phát triển Polygon đã triển khai bản vá lên mainnet của dự án qua một đợt hard fork đột xuất vào ngày 05/12.
Dù chi tiết về sự cố mãi đến ngày 29/12 mới được thông báo cho cộng đồng, thế nhưng đã có nhiều đồn đoán về việc Polygon ghi nhận lỗ hổng, xuất phát từ việc mạng lưới đã phải thực hiện một đợt hard fork bất thường. Vào thời điểm đó, đồng sáng lập Polygon Mihailo Bjelic trấn an rằng dự án đã gặp phải một sự cố không đe dọa và sẽ sớm công bố thêm thông tin.
Giá MATIC cũng không bị ảnh hưởng quá nhiều bởi tin tức trên, điều chỉnh nhẹ về vùng 2.4 USD sau khi đã lập đỉnh kỷ lục 2.93 USD vào hôm 27/12.
Đây đã là lần thứ hai trong Q4/2021 Polygon phát hiện lỗ hổng bảo mật với nguy cơ gây thiệt hại lớn. Như đã được đưa tin vào tháng 10, dự án đã trao thưởng 2 triệu USD – mức thưởng bug bounty cá nhân lớn nhất tính đến thời điểm đó – cho một hacker mũ trắng đã báo cáo thành công một lỗi liên quan đến dự án Plasma Bridge, có khả năng dẫn đến thất thoát 850 triệu USD.
Sang đến tháng 12, đến lượt Solana “may mắn” tránh được thiệt hại hơn 2,6 tỷ USD khi lỗ hổng bảo mật của họ cũng được hacker mũ trắng phát hiện và báo cáo kịp thời.