Ce hacker empoche une prime record de 2M$ de la part du réseau Polygon

La force de l’univers des cryptomonnaies est à la hauteur de ses faiblesses. Avec en première ligne les erreurs oubliées dans le code de ses différents réseaux et protocoles. Des failles que certains hackers recherchent pour tenter de dérober en quelques minutes des centaines de milliers de dollars au minimum. Et une réalité dont la douloureuse répétition en fait presque la norme dans le domaine de la DeFi. Heureusement que certains spécialistes de la sécurité s’habillent de blanc pour identifier ces problèmes sans – et avant – qu’un acteur malveillant ne vienne en tester l’exploitation. Un nouveau style d’ange gardien que le réseau Polygon vient de récompenser à hauteur de 2 millions de dollars.

Les attaques de types exploitations de failles ne se comptent plus au sein de la DeFi. Et le montant total qu’elles finissent par représenter n’est certainement pas la meilleure publicité qu’on puisse lui faire. Une réalité dont l’une des excuses peut se résumer à trop d’empressement face à des profits élevés. Et dont les principales victimes restent des utilisateurs et investisseurs à classer dans la catégorie des aventuriers numériques. Tout cela sur fond de ce qui finit par ressembler à une véritable sélection naturelle version 2.0.

Et parfois, sur le champ de bataille de cette guerre du code, des justiciers modernes font une apparition remarquée. Cela sous la forme de ce que l’on nomme les hackers whitehat. Avec comme frontière entre le bien et le mal, une volonté de déclarer les vulnérabilités identifiées avant d’essayer de s’y engouffrer. Ce qui se résume bien souvent à permettre aux protocoles concernés de sauver des centaines de millions de dollars d’une vidange expéditive. Avec à la clé une possible prime de bug (bounty) à l’attention de l’anonyme bienfaiteur. Un exercice auquel vient de se prêter le réseau Polygon (MATIC).

Un bug sur Polygon qui aurait pu coûter 850M$

Cette affaire a débuté début octobre par la mise à jour d’une vulnérabilité dans le code de la version Plasma du bridge du réseau Polygon. Un « ensemble de contrats qui aident à déplacer les actifs de la chaîne racine vers la chaîne enfant ». Et qui nécessite de passer par une période de blocage de 7 jours associée à toutes les opérations de Polygon vers Ethereum utilisant cette formule. Un outil très utile pour permettre d’échapper aux frais de réseaux exorbitants de ce dernier. Mais qui s’avère ressembler plus précisément à un pont suspendu digne d’un film d’Indiana Jones. Car il y avait une « petite » faille dans sa conception.

Une découverte effectuée par un certain et énigmatique hacker whitehat au pseudonyme de Gerhard Wagner (g3rh4rd w4gn3r pour les intimes). Cela sous la forme d’un bug qui a aussitôt été notifié à la plateforme de sécurité Immunefi. Cette dernière spécialisée dans ce genre de procédures en relation à la technologie blockchain. Et à l’origine de la publication d’un post mortem pour en exposer le déroulement. Avec comme bénéfice direct, la sécurisation de 850 millions de dollars que l’exploitation de cette faille aurait pu faire perdre au réseau Polygon. Cela pour un investissement initial de 100 000$ tout au plus…

« Le Whitehat Gerhard Wagner a soumis une vulnérabilité critique le 5 octobre 2021 qui affectait le Polygon Plasma Bridge. Cette vulnérabilité permettait à un attaquant de quitter la procédure de burn jusqu’à 223 fois d’affilée. Il y avait environ 850 millions de dollars à risque. Des pertes à hauteur de 22,3 millions de dollars auraient pu être initiées par une attaque ne nécessitant qu’un apport de 100 000$ ! » – Immunefi

Une prime de bug qui bat tous les records

Le réseau Polygon a aussitôt réagi afin de résoudre au plus vite – et en toute discrétion – ce problème. Et c’est finalement hier qu’il a annoncé sur son compte Twitter officiel que les fonds de ses utilisateurs n’avaient subi aucune perte. Cela grâce à la divulgation de ce bug effectué « de manière responsable ». Avec comme objectif de « rendre le Web 3.0 plus résistant face à de telles attaques« . Et quoi de mieux pour motiver les troupes de ces hackers aux grands cœurs que de leur verser une prime conséquente.

Une procédure que le projet Polygon n’a de toute évidence pas pris à la légère. Et qui explique peut être en partie sa récente décision de multiplier le montant minimum de ses frais de réseau par 30. Car les 2 millions de dollars versés à Gerhard Wagner représentent visiblement un nouveau record dans le domaine. C’est en tout cas ce qu’affirme la plateforme Immunefi, intermédiaire officiel dans le cadre de cette opération historique. Avec une déclaration de sa part en forme de conclusion à cet article : « Tout le monde est en sécurité ! Une vraie victoire. »