Хакер скрылся с вознаграждением в размере 2 миллионов долларов после обнаружения тревожной уязвимости в сети Ethereum. Эта ошибка могла быть очень серьезной, если бы ее обнаружили черные хакеры, которые могли бы использовать цифровой актив для ETH на миллиарды долларов. Вместо этого хакер «серой шляпы», широко известный как Саурик, сообщил команде Ethereum об уязвимости, получив взамен значительное вознаграждение.

Поиск уязвимости в Ethereum

Хакер Saurik обнаружил уязвимость в Optimism, решении для агрегирования Ethereum Layer 2. Сам хакер опубликовал отчет о том, как он нашел уязвимость в решении. Просматривая протоколы нано-платежей в накопительном пакете, он обнаружил уязвимость, которая может позволить злоумышленнику безудержно вывести «практически неограниченное» количество ETH из решения.

Это было похоже на метод атаки, примененный в популярном блокчейне смарт-контрактов Solana, который привел к взлому червоточины на 353 миллиона долларов. Оптимизм, как и червоточина, чеканит то, что известно как «обернутый эфир». Пользователи вносят свой эфир в смарт-контракт, чтобы в основном служить залогом, и даже эти токены существуют только в сети Optimism. Затем они используют протокол наноплатежей, чтобы совершать транзакции быстрее и быстрее.

ETH восстанавливается выше 3100 долларов | Источник: ETHUSD на TradingView.com.
ETH восстанавливается выше 3100 долларов | Источник: ETHUSD на TradingView.com.

Саурик, известный разработкой взломанной iOS, подтвердил наличие уязвимости. Однако вместо того, чтобы использовать уязвимость в личных целях, самозваный хакер сообщил об этом разработчикам Optimism. В свою очередь, Саурик был вознагражден наградой в размере 2 миллионов долларов за свой альтруизм, который помог сделать сеть и объединение уровня 2 более безопасными для пользователей.

Разоблачение популярных слухов

После того, как стало известно об уязвимости и последующей выплате вознаграждения, ходили слухи о том, что злоумышленник мог бы сделать с ней, если бы решил не сообщать об этом разработчикам. Самым популярным из них было то, что злоумышленник мог вывести неограниченное количество ETH из сети. Хотя это имеет некоторые достоинства, это в значительной степени ложно.

Во-первых, уязвимость существует в накопительном решении уровня 2 Optimism. Хотя протокол существует в сети Эфириума, он не является самой сетью. Это означает, что уязвимость была локализована только в протоколе. Таким образом, хотя злоумышленник мог бы использовать это для вывода «неограниченного» количества ETH, он мог вывести только доступный баланс на адрес Optimism.

Тем не менее, до сих пор не секрет, что результаты были бы разрушительными для пользователей протокола уровня 2, если бы хакер в черной шляпе нашел уязвимость. Это событие красноречиво говорит о полезности вознаграждений за ошибки. Хотя поначалу награды за эти награды могут показаться слишком большими, нужно подумать о том, какой была бы альтернатива, если бы у хакеров не было стимула сообщать о своих открытиях. Белые хакеры, несомненно, помогают экономить миллионы, если не миллиарды долларов каждый год.

Избранное изображение от Gagadget, график от TradingView.com

Источник