Polygon (MATIC) melakukan hard fork pada tanggal 5 Desember 2021 lalu untuk memperbaiki kelemahan kritikal pada kontrak MRC20. Sebelum hard fork itu, seorang peretas berhasil mencuri 801.601 MATIC akibat galat (bug) tersebut.
Polygon Diserang Peretas
Tim pengembang inti Polygon mengungkap kelemahan kritikal pada salah satu kontraknya diretas dengan kerugian sebesar US$1,6 juta atau Rp22,8 milyar 24 hari setelah peristiwa terjadi. Polygon telah membayar imbalan sebesar US$3,46 juta bagi pihak yang memberi tahu soal kelemahan itu.
Pada pekan pertama Desember, Leon Spacewalker dan Whitehat2, dua peretas white hat terkait platform pencarian bug Immunefi, memberitahu Polygon soal isu kelemahan. Galat itu ditemukan dalam fungsi transfer kontrak MRC20 yang digunakan untuk transaksi tanpa gas di jaringan itu.
Setelah kerentanan itu dilaporkan, Polygon membenarkannya dengan menerapkan hard fork secara diam-diam bersama dengan semua validator dan operator simpul. Polygon merupakan sidechain Ethereum berbasis proof of stake.
Kendati galat tersebut diperbaiki dalam hitungan hari, kelemahan itu berhasil dimanfaatkan peretas black hat yang berhasil merampas 801.601 token MATIC senilai US$1,6 juta.
Dalam laporan pasca kejadian, tim Polygon menulis, “Kendati usaha terbaik dari kami, hacker menggunakan eksploitasi untuk mencuri 801.601 MATIC sebelum pembaruan jaringan terjadi.”
Situasi tersebut dapat berdampak lebih buruk bila terjadi penundaan.
Immunefi, yang membantu Polygon menerapkan pembenaran, mengatakan bila galat Polygon tidak dilaporkan, oknum peretas dapat menyedot kurang lebih 9,2 juta token MATIC dengan nilai sekitar US$20 milyar saat itu.
Menanggapi langkah yang ditempuh tim untuk membenarkan kelemahan, co-founder Polygon Jaynti Kanani berkata tim mereka mengambil keputusan terbaik dalam situasi yang terjadi.
Polygon telah membayar imbalan sebesar US$3,46 juta kepada peretas white hat yang melaporkan galat tersebut. Selain itu, Polygon berkata akan menanggung biaya token MATIC yang dicuri.
Kasus ini bukan pertama kalinya bug kritis ditemukan dan dibenarkan pada Polygon. Pada Oktober 2021, Polygon membetulkan kesalahan kritis di Plasma Bridge yang memiliki dana terkunci sebesar US$850 juta.
Polygon tidak menjelaskan mengapa peristiwa peretasan tidak diungkap selama 24 hari. Perwakilan dari Polygon tidak menanggapi permintaan komen dari Crypto Briefing saat artikel terbit. [cryptobriefing.com/ed]