Критическая ошибка в Ethereum L2 Optimism, выплачено вознаграждение в размере 2 миллионов долларов

Решение Ethereum Layer-2 Компания Optimism исправила критическую программную ошибку в одном из своих смарт-контрактов на Ethereum. 2 февраля команда Optimism была предупреждена Джеем Фриманом о критической ошибке в форке Optimism клиентского программного обеспечения Ethereum Geth. Согласно объявлению Optimism «Средства — это сафу».

Ошибка позволила хакеру-злоумышленнику создать ETH на Optimism, «неоднократно активировав код операции «САМОУНИЧТОЖЕНИЕ» в контракте, который содержал баланс ETH». Коды операций — это различные типы инструкций, которые могут выполняться в среде выполнения виртуальной машины Ethereum (EVM).

Ошибка, вызванная сотрудником Etherscan

Анализ истории блокчейна Optimism, проведенный командой Optimism, показал, что ошибка не использовалась. Ошибка, похоже, была случайно вызвана сотрудником популярного обозревателя блоков Etherscan. Согласно отчету, «не было сгенерировано полезного избытка ETH».

Согласно объявлению, в течение нескольких часов после подтверждения команда Optimism разработала и развернула исправление в сетях Kovan и Mainnet, исправив ошибку, и отправила оповещения командам, разрабатывающим уязвимые форки Optimism, и поставщикам мостов L1-L2. Помимо объявления, команда Optimism также опубликовала подробный разбор инцидента.

В рамках программы вознаграждения за ошибки Immunefi от Optimism максимальная сумма чуть более 2 миллионов долларов была выплачена Джею Фриману. Тот факт, что была выплачена максимальная сумма, говорит о серьезности ошибки. Однако в объявлении не говорится о возможном ущербе, если ошибка была использована злоумышленником.

Растущая экосистема DeFi усложняет безопасность

Согласно сообщению в блоге Optimism, защита экосистемы DeFi от проблем безопасности становится все более сложной, что в значительной степени является прямым следствием самой децентрализации.

Сообщение гласит:

«Очевидно, что экосистема скоро станет слишком большой, чтобы это оставалось практичным. В ближайшем будущем мы обновим наш протокол раскрытия информации, чтобы он больше соответствовал протоколу Geth»,

Пост также указывает на важность программ вознаграждения за ошибки.

Команда Optimism в настоящее время занимается определением и созданием следующего крупного релиза Optimism: Bedrock Edition. Согласно Optimism, Bedrock Edition значительно уменьшит разницу в кодовой базе между форком Optimism Geth и «официальным» клиентом go-ethereum. Отсутствие необходимости изменять исходный код снижает вероятность появления ошибок.