Polygon (MATIC) melakukan hard fork pada tanggal 5 Desember 2021 lalu untuk memperbaiki kelemahan kritikal pada kontrak MRC20. Sebelum hard fork itu, seorang peretas berhasil mencuri 801.601 MATIC akibat galat (bug) tersebut.
Polygon Diserang Peretas
Tim pengembang inti Polygon mengungkap kelemahan kritikal pada salah satu kontraknya diretas dengan kerugian sebesar US$1,6 juta atau Rp22,8 milyar 24 hari setelah peristiwa terjadi. Polygon telah membayar imbalan sebesar US$3,46 juta bagi pihak yang memberi tahu soal kelemahan itu.
Pada pekan pertama Desember, Leon Spacewalker dan Whitehat2, dua peretas white hat terkait platform pencarian bug Immunefi, memberitahu Polygon soal isu kelemahan. Galat itu ditemukan dalam fungsi transfer kontrak MRC20 yang digunakan untuk transaksi tanpa gas di jaringan itu.
Setelah kerentanan itu dilaporkan, Polygon membenarkannya dengan menerapkan hard fork secara diam-diam bersama dengan semua validator dan operator simpul. Polygon merupakan sidechain Ethereum berbasis proof of stake.
Kendati galat tersebut diperbaiki dalam hitungan hari, kelemahan itu berhasil dimanfaatkan peretas black hat yang berhasil merampas 801.601 token MATIC senilai US$1,6 juta.
Dalam laporan pasca kejadian, tim Polygon menulis, “Kendati usaha terbaik dari kami, hacker menggunakan eksploitasi untuk mencuri 801.601 MATIC sebelum pembaruan jaringan terjadi.”
Situasi tersebut dapat berdampak lebih buruk bila terjadi penundaan.
Immunefi, yang membantu Polygon menerapkan pembenaran, mengatakan bila galat Polygon tidak dilaporkan, oknum peretas dapat menyedot kurang lebih 9,2 juta token MATIC dengan nilai sekitar US$20 milyar saat itu.
Menanggapi langkah yang ditempuh tim untuk membenarkan kelemahan, co-founder Polygon Jaynti Kanani berkata tim mereka mengambil keputusan terbaik dalam situasi yang terjadi.
Polygon telah membayar imbalan sebesar US$3,46 juta kepada peretas white hat yang melaporkan galat tersebut. Selain itu, Polygon berkata akan menanggung biaya token MATIC yang dicuri.
Kasus ini bukan pertama kalinya bug kritis ditemukan dan dibenarkan pada Polygon. Pada Oktober 2021, Polygon membetulkan kesalahan kritis di Plasma Bridge yang memiliki dana terkunci sebesar US$850 juta.
Polygon tidak menjelaskan mengapa peristiwa peretasan tidak diungkap selama 24 hari. Perwakilan dari Polygon tidak menanggapi permintaan komen dari Crypto Briefing saat artikel terbit. [cryptobriefing.com/ed]
Disclaimer: Seluruh konten yang diterbitkan di Blockchainmedia.id, baik berupa artikel berita, analisis, opini, wawancara, liputan khusus, artikel berbayar (paid content), maupun artikel bersponsor (sponsored content), disediakan semata-mata untuk tujuan informasi dan edukasi publik mengenai teknologi blockchain, aset kripto, dan sektor terkait. Meskipun kami berupaya memastikan akurasi dan relevansi setiap konten, kami tidak memberikan jaminan atas kelengkapan, ketepatan waktu, atau keandalan data dan pendapat yang dimuat. Konten bersifat informatif dan tidak dapat dianggap sebagai nasihat investasi, rekomendasi perdagangan, atau saran hukum dalam bentuk apa pun. Setiap keputusan finansial yang diambil berdasarkan informasi dari situs ini sepenuhnya merupakan tanggung jawab pembaca. Blockchainmedia.id tidak bertanggung jawab atas kerugian langsung maupun tidak langsung, kehilangan data, atau kerusakan lain yang timbul akibat penggunaan informasi di situs ini. Pembaca sangat disarankan untuk melakukan verifikasi mandiri, riset tambahan, dan berkonsultasi dengan penasihat keuangan profesional sebelum mengambil keputusan yang melibatkan risiko keuangan.