L’équipe de Polygon a promis une explication et la voici. Il y a quelques semaines, le réseau Ethereum Layer 2 a forgé sa blockchain, apparemment sans explication. Comme d’habitude, NewsBTC est allé au fond de l’affaire et a présenté toutes les informations disponibles. La seule pièce manquante était un rapport officiel promis par les experts de Polygon. Est-ce ceci? Apparemment oui.
Lecture connexe | La communauté a voté, pourquoi Uniswap sera déployé sur Polygon
Avant d’entrer dans le vif du sujet, rappelons-nous l’explication du co-fondateur de Polygon, Mihailo Bjelic, que nous rapportons :
« Nous nous efforçons d’améliorer les pratiques de sécurité dans tous les projets Polygon », a tweeté Bjelic. « Dans le cadre de cet effort, nous travaillons avec plusieurs groupes de chercheurs en sécurité, des pirates informatiques, etc. L’un de ces partenaires a découvert une vulnérabilité dans l’un des contrats récemment vérifiés. Nous avons immédiatement introduit un correctif et coordonné la mise à niveau avec les validateurs/opérateurs de nœuds complets. Aucun fonds n’a été perdu. Le réseau est stable.
Il est important de se rappeler que l’écosystème crypto était préoccupé par la façon dont ils ont réussi à faire tout cela. Cela semblait centralisé. Cependant, le cofondateur a assuré à tout le monde que «le réseau est géré par des validateurs et des opérateurs de nœuds complets, et nous n’avons aucun contrôle sur aucun de ces groupes. Nous avons juste fait de notre mieux pour communiquer et expliquer l’importance de cette mise à niveau, mais en fin de compte, c’était à eux de décider s’ils le feraient ou non.
Cependant, c’était la plainte supplémentaire de l’opérateur de nœuds Polygon Mikko Ohtamaa :
« La prochaine fois que cela se produira, pouvez-vous au moins annoncer une mise à jour critique à tous les opérateurs de nœuds Polygon. Maintenant, cela semble super peu professionnel et déroutant pour la communauté. Cela n’a été mentionné ou épinglé dans aucune chaîne ou publication majeure. »
Et c’est l’histoire jusqu’à présent.
Qu’ont dit les experts du polygone ?
Étant donné que le tristement célèbre exploit Poly Network n’a eu lieu qu’en août de cette année, il est bon d’entendre que Polygon travaille dur pour sécuriser l’ensemble de ses opérations. Ils ont « investi des efforts et des ressources importants dans la création d’un écosystème de partenaires experts en sécurité, dans le but d’améliorer la sécurité et la robustesse de toutes les solutions et produits Polygon ». Dans cet esprit, voici la version de l’entreprise de ce qui s’est passé :
«Récemment, un groupe de pirates informatiques sur la plate-forme de primes aux bogues Immunefi a révélé une vulnérabilité dans le contrat de genèse de Polygon PoS. L’équipe principale de Polygon s’est engagée avec le groupe et l’équipe d’experts d’Immunefi et a immédiatement introduit un correctif. Le validateur et les communautés de nœuds complets ont été informés et se sont ralliés aux principaux développeurs pour mettre à niveau le réseau. La mise à niveau a été exécutée dans les 24 heures, au bloc #22156660, le 5 décembre.
Jusqu’ici tout va bien. Cela rime avec l’explication de Bjelic et donne plus de détails à la communauté. Cependant, nous savons qu’ils ont à peine informé les validateurs et les opérateurs de nœuds. Ils n’ont même pas à mentir à ce sujet, car ils ont une bonne raison pour laquelle ils ont mené toute l’opération en mode furtif.
« Compte tenu de la nature de cette mise à niveau, elle devait être exécutée sans révéler la vulnérabilité réelle et sans trop attirer l’attention. Nous sommes toujours en train de finaliser notre politique et nos procédures de divulgation des vulnérabilités, et pour l’instant, nous essayons de suivre la politique de « correctifs silencieux » introduite et utilisée par l’équipe Geth. »
Selon Ohtamaa, « il existe plusieurs projets open source » qui ont effectué des opérations similaires de manière plus efficace. Et c’est peut-être vrai, mais cela ne tient pas au fait que les actions de Polygon étaient justifiées.
Tableau des prix MATIC sur Binance | Source : MATIC/USD sur TradingView.com
Au final, la mise à jour critique s’est assez bien déroulée :
« La vulnérabilité a été corrigée et les dommages ont été atténués, sans qu’il y ait eu de préjudice matériel pour le protocole et ses utilisateurs finaux. Tous les contrats Polygon et les implémentations de nœuds restent entièrement open source.
Lecture connexe | Polygon ouvre un coffre-fort sur MakerDAO et s’engage pour 50 millions de dollars en jetons Matic
N’oubliez pas que l’une des premières critiques était qu’ils avaient divisé la blockchain Polygon « à une genèse complètement fermée ». Ici, la source officielle assure que « les contrats et les implémentations de nœuds restent entièrement open source ». Bon. Y a-t-il autre chose qu’ils veulent nous dire ?
«Nous travaillons toujours à la clôture de la procédure finale avec Immunefi et le groupe de hackers whitehat, principalement en termes de récompenses et de multiples séries d’examens de la vulnérabilité corrigée. Nous publierons un post-mortem détaillé une fois ce processus terminé, probablement d’ici la fin de la semaine prochaine.
L’équipe publiera encore un autre article avec encore plus de détails pour les personnes à vocation technique. C’est au-dessus de notre niveau de rémunération. Restez à l’écoute du blog de Polygon si vous êtes intéressé.
Image présentée par Diana Polekhina sur Unsplash – Graphiques par TradingView
