Polygon解釋月初悄悄硬分岔:致命漏洞能任意發行MATIC代幣,稱決策無虞

Jim
分享
Polygon解釋月初悄悄硬分岔:致命漏洞能任意發行MATIC代幣,稱決策無虞

以太坊二層解決方案 Polygon 在本月初緊急升級主網,12/5 執行硬分岔時並未對外詳盡說明,直至 12/29 官方才披露項目漏洞所面臨的重大風險。儘管事件在沒有大規模損失的情況下落幕,Matic 幣價也未崩盤,但團隊過於中心化的手段仍引起爭議。

事件時間軸

據 Polygon 官方公告,事件經過如下:

12/3 10:11:白帽駭客 Leon Spacewalker 向漏洞賞金平台 Immunefi 報告潛在漏洞。

廣告 - 內文未完請往下捲動

12/3 16:18:Polygon 確認存在漏洞,團隊一小時後決定盡快升級主網。

12/3 20:18:於區塊高度 #22244000 在測試網 Mumbai Testnet 上線 Bor v0.2.12-beta1。

12/4 04:26:Mumbai 測試網更新完成,準備主網更新。

12/4 13:46:漏洞被駭客成功利用,竊取 801,601 枚 MATIC 代幣。

12/4 18:53:第二位白帽駭客向 Immunefi 提交相同漏洞報告。

12/4 21:08:Polygon 通知驗證節點主網將緊急升級。

12/5 07:27:主網於區塊高度 #22156660 更新完成,超過 90% 驗證者。

團隊說法

Polygon 指出,安全性與透明度之間本就難以平衡,最初他們沒有披露漏洞,是因為遵循了以太坊客戶端 Geth 的「緘默補丁」政策,其描述如下:

若更新版本中存在重要共識或 DoS 攻擊,一定會有人試圖攻擊節點並利用該漏洞,為了充分拖延潛在攻擊以讓大多數節點不受影響,暫時拋棄透明度可能是值得的,因此有時對於漏洞最好保持緘默,ZCash、門羅幣、比特幣等項目也遵循此作法。

總之,Polygon 核心團隊認為在處理這個急迫的重大問題時,在針對開源、社群、合作方,以及整體生態之間取得了最佳平衡狀態,但也歡迎大家對此評論。

Polygon 承擔損失

而據漏洞賞金平台 Immunefi 同日 12/29 的披露,該漏洞可能允許攻擊者鑄造超過 92 億枚的 MATIC 代幣 (總量為 100 億),過程中仍有駭客竊取 801,601 枚代幣,Polygon 將承擔損失,同時也向兩位白帽駭客支付約 346 萬美元的賞金。

爭議點在於官方跳過社群而主導的主網更新升級,但同時團隊也面臨著披露漏洞可能面臨的風險,且先前因 SOL、AVAX 的暴漲以及三箭資本創辦人的放棄以太坊言論,社群更多著墨於此,而並未對 Polygon 的半夜臨時升級有太多討論。

MATIC 幣價也並未受到主網升級影響,自 12/6 以來上漲 34%,最高逼近 3 美元,截稿前隨著市場回調來到 2.46 美元。

MATICUSDT 4H