Разработчики из проекта масштабирования Ethereum Layer 2 Optimism объявили, что в начале этого месяца была обнаружена и впоследствии исправлена «критическая ошибка».
Ошибка, которая могла позволить хакерам создать столько «ETH» на балансе учетной записи Optimism, сколько они хотели, была впервые обнаружена хакером в белой шляпе и разработчиком программного обеспечения для джейлбрейка iOS Cydia Джеем Фриманом.
На прошлой неделе я обнаружил (и сообщил) критическую ошибку (которая была полностью исправлена) в @optimismPBC («решение для масштабирования уровня 2» для Ethereum), которая позволила бы злоумышленнику напечатать произвольное количество токенов, за что я выиграл награда в размере 2 000 042 доллара. https://t.co/J6KOlU8aSW
— Джей Фриман (саурик) (@saurik) 10 февраля 2022 г.
В подробном сообщении в блоге Фриман объяснил, что ошибка «позволит злоумышленнику копировать деньги в любой цепочке, используя свой форк Go-ethereum OVM 2.0». За свои усилия Фриман получил одну из крупнейших на сегодняшний день наград за обнаружение ошибок, общая сумма вознаграждения составила 2 000 042 доллара.
По словам команды Optimism, «ошибка позволила создать ETH на Optimism, многократно активировав код операции SELFDESTRUCT для контракта, в котором был баланс ETH».
В сообщении в блоге команда Optimism отметила, что история ее цепочки показала, что ошибка не использовалась, за исключением случайной активации сотрудником стартапа данных Ethereum Etherscan, но «не было создано никаких пригодных для использования излишков».
«Исправление этой проблемы было протестировано и развернуто в сетях Optimism Kovan и Mainnet (включая всех поставщиков инфраструктуры) в течение нескольких часов после подтверждения», — сказали в команде, поблагодарив Infura, QuickNode и Alchemy за быстрое время отклика.
«Мы также предупредили несколько уязвимых форков Optimism и поставщиков мостов о наличии проблемы. Все эти проекты применили необходимое исправление».
В конце прошлого года Optimism удалил свой белый список, что позволило любому разработчику начать создавать проекты в сети Optimism. До этого сеть была доступна только для определенных проектов, таких как Uniswap и Synthetix. Это ограничение упростило разработчикам обнаружение и устранение потенциальных ошибок.
Optimism — это масштабирующее решение уровня 2 для сети Ethereum, использующее «оптимистические свертки», которые объединяют транзакции за пределами блокчейна Ethereum.
Это обеспечивает преимущества уменьшения проскальзывания, снижения транзакционных издержек и значительного повышения скорости транзакций. Однако, как показала эта ошибка, в то время как протоколы уровня 2 обеспечивают повышение эффективности, безопасность во время текущей разработки остается общей проблемой.
Хотя это вознаграждение является одним из крупнейших, которые были выплачены на данный момент, MakerDAO только что объявила, что предложит максимальное вознаграждение в размере 10 миллионов долларов любому, кто укажет на критические угрозы безопасности в своих смарт-контрактах. Это крупнейшая серия вознаграждений за обнаружение ошибок, когда-либо проводившихся на платформе вознаграждений за обнаружение ошибок Immunefi.
Источник