Команда Polygon пообещала объяснение, и вот оно. Несколько недель назад сеть Ethereum Layer 2 претерпела хард-форк, на то время без объяснения причин. Теперь есть официальный отчет экспертов Polygon.
Прежде чем мы перейдем к этому, давайте вспомним объяснение соучредителя Polygon Михайло Бьелича:
«Мы прилагаем усилия для улучшения безопасности во всех проектах Polygon, – написал в Твиттере Бьелич. В рамках этих усилий мы работаем с несколькими группами исследователей безопасности, белыми хакерами и т.д. Один из этих партнеров обнаружил уязвимость в одном из недавно проверенных контрактов. Мы немедленно ввели исправление и согласовали обновление с валидаторами/операторами полных узлов. Никакие средства не были потеряны. Сеть стабильна».
Важно помнить, что крипто-экосистема была обеспокоена тем, как им удалось все это сделать. Это казалось централизованным.
«Сеть управляется валидаторами и операторами полных узлов, и мы не контролируем ни одну из этих групп. Мы просто сделали все возможное, чтобы сообщить и объяснить важность этого обновления, но в конечном итоге они сами должны были решить, сделают ли они это или нет. И они сделали», – заверил всех соучредитель.
Однако это была еще одна жалоба оператора узла Polygon Микко Охтамаа:
«Не могли бы вы хотя бы объявить о критическом обновлении для всех операторов узла Polygon, когда это произойдет в следующий раз. Теперь это выглядит супер непрофессионально и сбивает с толку сообщество. Об этом не упоминалось и не фиксировалось ни в каких крупных каналах или публикациях».
Вот такая была история.
Что сказали эксперты Polygon?
Учитывая, что печально известный эксплойт Poly Network произошел всего в августе этого года, приятно слышать, что Polygon усердно работает над обеспечением безопасности всей своей деятельности. Они «вкладывают значительные усилия и ресурсы в создание экосистемы партнеров-экспертов по безопасности с целью повышения безопасности и надежности всех решений и продуктов Polygon». Имея это в виду, компания представляет свою версию случившегося:
«Недавно группа белых хакеров на платформе выявления ошибок Immunefi обнаружила уязвимость в контракте генезиса Polygon PoS. Основная команда Polygon связалась с группой и командой экспертов Immunefi и немедленно представила исправление. Сообщества валидаторов и полных узлов были уведомлены, и они сплотились вместе с основными разработчиками, чтобы обновить сеть. Обновление было выполнено в течение 24 часов и завершилось 5 декабря на блоке №22156660».
Все идет нормально. Это рифмуется с объяснением Бьелича и дает сообществу более подробную информацию. Однако мы знаем, что они почти не уведомили валидаторов и операторов узлов. Им даже не нужно лгать об этом, потому что у них действительно есть веская причина, почему они провели всю операцию в скрытом режиме.
«Учитывая характер этого обновления, его нужно было выполнить без раскрытия фактической уязвимости и без привлечения слишком большого внимания. Мы все еще дорабатываем нашу политику и процедуры раскрытия уязвимостей, и пока мы пытаемся следовать политике «скрытых исправлений», введенной и используемой командой Geth».
По словам Отамаа, «существует несколько проектов с открытым исходным кодом», которые выполняли аналогичные операции более эффективно. И это может быть правдой, но это не означает, что действия Polygon были оправданы.
График цены MATICUSD – TradingView
График цен MATIC на Binance | Источник: MATIC / USD на TradingView.com
Последствия
В конце концов, критическое обновление прошло нормально:
«Уязвимость была устранена, а ущерб уменьшен, при этом не было причинено материального ущерба протоколу и его конечным пользователям. Все контракты и реализации узлов Polygon остаются полностью открытыми».
Помните, что одним из первых критических замечаний было то, что они разделили блокчейн Polygon «на полностью закрытый исходный код». Официальный источник заверяет, что «контракты и реализации узлов остаются полностью открытыми». Хорошо. Они хотят нам что-то еще сказать?
«Мы все еще работаем над закрытием финального разбирательства с Immunefi и группой белых хакеров, в первую очередь с точки зрения их вознаграждений и нескольких раундов проверок исправленной уязвимости. Мы опубликуем подробное вскрытие после завершения этого процесса, вероятно, к концу следующей недели».
Команда опубликует еще один пост с еще более подробной информацией для технически ориентированных людей. Следите за новостями в блоге Polygon, если вам интересно.