Разработчики из проекта масштабирования Ethereum Layer 2 Optimism объявили, что в начале этого месяца была обнаружена и впоследствии исправлена «критическая ошибка».
Ошибка, которая могла позволить хакерам создать столько «ETH» на балансе учетной записи Optimism, сколько они хотели, была впервые обнаружена хакером в белой шляпе и разработчиком программного обеспечения для джейлбрейка iOS Cydia Джеем Фриманом.
На прошлой неделе я обнаружил (и сообщил) критическую ошибку (которая была полностью исправлена) в @optimismPBC («решение для масштабирования уровня 2» для Ethereum), которая позволила бы злоумышленнику напечатать произвольное количество токенов, за что я выигралнаграда в размере 2 000 042 доллара.https://t.co/J6KOlU8aSW — Джей Фриман (saurik) (@saurik) 10 февраля 2022 г.
В подробном сообщении в блоге Фриман объяснил, что ошибка «позволит злоумышленнику копировать деньги в любой цепочке, используя свой форк OVM 2.0 go-ethereum». За свои усилия Фриман получил одну из крупнейших на сегодняшний день наград за обнаружение ошибок, общая сумма вознаграждения составила 2 000 042 доллара.
По словам команды Optimism, «ошибка позволила создать ETH на Optimism, многократно активировав код операции SELFDESTRUCT для контракта, в котором был баланс ETH».
В сообщении в блоге команда Optimism отметила, что история ее цепочки показала, что ошибка не использовалась, за исключением случайной активации сотрудником стартапа данных Ethereum Etherscan, но «не было создано никаких пригодных для использования излишков».
«Исправление проблемы было протестировано и развернуто в сетях Optimism Kovan и Mainnet (включая всех поставщиков инфраструктуры) в течение нескольких часов после подтверждения», — сказали в команде, поблагодарив Infura, QuickNode и Alchemy за быстрое время отклика.
«Мы также предупредили несколько уязвимых форков Optimism и провайдеров мостов о наличии проблемы. Все эти проекты применили требуемое исправление».
В конце прошлого года Optimism удалил свой белый список, что позволило любому разработчику начать создавать проекты в сети Optimism. До этого сеть была доступна только для определенных проектов, таких как Uniswap и Synthetix. Это ограничение упростило разработчикам обнаружение и устранение потенциальных ошибок.
Связанный: MakerDAO запускает самую большую награду за обнаружение ошибок с вознаграждением в размере 10 миллионов долларов
Optimism — это масштабирующее решение уровня 2 для сети Ethereum, использующее «оптимистические свертки», которые объединяют транзакции за пределами блокчейна Ethereum.
Это обеспечивает преимущества сокращения проскальзывания, снижения транзакционных издержек и значительного повышения скорости транзакций. Однако, как показала эта ошибка, в то время как протоколы уровня 2 обеспечивают повышение эффективности, безопасность во время текущей разработки остается общей проблемой.
Хотя это вознаграждение является одним из крупнейших, которые были выплачены на данный момент, MakerDAO только что объявила, что предложит максимальную награду в размере 10 миллионов долларов любому, кто укажет на критические угрозы безопасности в своих смарт-контрактах. Это крупнейшая серия вознаграждений за обнаружение ошибок, когда-либо проводившихся на платформе вознаграждений за обнаружение ошибок Immunefi.
