La version de Polygon de l’histoire : Hard-Fork a résolu une « vulnérabilité critique »
L’équipe de Polygon a promis une explication et la voici. Il y a quelques semaines, le réseau Ethereum Layer 2 a hard-forké sa blockchain, apparemment sans explication. Comme d’habitude, NewsBTC est allé au fond de l’affaire et a présenté toutes les informations disponibles. La seule pièce manquante était le rapport officiel promis par les experts de Polygon. Est-ce que c’est ça ? Apparemment oui.
Avant d’entrer dans le vif du sujet, rappelons l’explication du cofondateur de Polygon, Mihailo Bjelic, rapportée par nos soins :
« Nous faisons un effort pour améliorer les pratiques de sécurité dans tous les projets Polygon », a tweeté Bjelic. « Dans le cadre de cet effort, nous travaillons avec de multiples groupes de chercheurs en sécurité, des hackers whitehat, etc. L’un de ces partenaires a découvert une vulnérabilité dans l’un des contrats récemment vérifiés. Nous avons immédiatement introduit un correctif et coordonné la mise à niveau avec les validateurs/opérateurs de nœuds complets. Aucun fonds n’a été perdu. Le réseau est stable. »
l est important de se rappeler que l’écosystème cryptographique s’inquiétait de la façon dont ils parvenaient à faire tout cela. Cela semblait centralisé. Cependant, le cofondateur a assuré à tout le monde que « Le réseau est géré par des validateurs et des opérateurs de nœuds complets, et nous n’avons aucun contrôle sur aucun de ces groupes. Nous avons juste fait de notre mieux pour communiquer et expliquer l’importance de cette mise à niveau, mais en fin de compte, c’était à eux de décider s’ils allaient le faire ou non. »
Cependant, c’est l’opérateur du nœud Polygon, Mikko Ohtamaa, qui s’est encore plaint :
« La prochaine fois que cela se produit, pouvez-vous au moins annoncer une mise à jour critique à tous les opérateurs de nœuds Polygon. Cela semble très peu professionnel et déroutant pour la communauté. Cela n’a pas été mentionné ou épinglé dans les principaux canaux ou publications. «
Et c’est l’histoire jusqu’à présent.
Que disent les experts de Polygon ?
Étant donné que le tristement célèbre exploit Poly Network n’a été découvert qu’en août de cette année, il est bon d’entendre que Polygon travaille dur pour sécuriser l’ensemble de ses opérations. La société a « investi des efforts et des ressources considérables dans la création d’un écosystème de partenaires experts en sécurité, dans le but d’améliorer la sécurité et la robustesse de toutes les solutions et produits Polygon ». Dans cette optique, voici la version de l’entreprise de ce qui s’est passé :
« Récemment, un groupe de hackers whitehat sur la plateforme de bug bounty Immunefi a divulgué une vulnérabilité dans le contrat de genèse de Polygon PoS. L’équipe centrale de Polygon a collaboré avec le groupe et l’équipe d’experts d’Immunefi et a immédiatement introduit un correctif. Les communautés de validateurs et de nœuds complets ont été informées et se sont ralliées aux développeurs principaux pour mettre à niveau le réseau. La mise à niveau a été exécutée dans les 24 heures, au bloc #22156660, le 5 décembre. »
Jusqu’ici, tout va bien. Cela rime avec l’explication de Bjelic et donne à la communauté plus de détails. Cependant, nous savons qu’ils ont à peine prévenu les validateurs et les opérateurs de nœuds. Ils n’ont même pas besoin de mentir à ce sujet, car ils ont une excellente raison pour expliquer pourquoi ils ont mené toute l’opération en mode furtif.
« Compte tenu de la nature de cette mise à niveau, elle devait être exécutée sans divulguer la vulnérabilité réelle et sans attirer trop d’attention. Nous sommes encore en train de finaliser notre politique et nos procédures de divulgation des vulnérabilités, et pour l’instant, nous essayons de suivre la politique des « correctifs silencieux » introduite et utilisée par l’équipe de Geth. »
Selon Ohtamaa, « il existe de multiples projets open source » qui ont réalisé des opérations similaires de manière plus efficace. Et c’est peut-être vrai, mais cela n’enlève rien au fait que les actions de Polygon étaient justifiées.
L’Après
Au final, la mise à jour critique a plutôt bien fonctionné :
« La vulnérabilité a été corrigée et les dommages ont été atténués, sans qu’il y ait de préjudice matériel pour le protocole et ses utilisateurs finaux. Tous les contrats Polygon et les implémentations de nœuds restent entièrement open source. »
Rappelez-vous, l’une des premières critiques était qu’ils ont bifurqué la blockchain Polygon « vers une genèse complètement fermée. » Ici, la source officielle assure que « les contrats et les implémentations de nœuds restent entièrement open source. » Bien, mais y a-t-il autre chose qu’ils veulent nous dire ?
« Nous travaillons toujours à la clôture des procédures finales avec Immunefi et le groupe de hackers whitehat, principalement en ce qui concerne leurs récompenses et les multiples séries d’examens de la vulnérabilité corrigée. Nous publierons un postmortem détaillé une fois ce processus terminé, probablement d’ici la fin de la semaine prochaine. »