Разработчик джейлбрейка iOS выиграл вознаграждение в $2 млн за обнаружение критической ошибки Optimism
Разработчики проекта по масштабированию Ethereum Layer 2 Optimism объявили о том, что в начале этого месяца была обнаружена и исправлена «критическая ошибка».
Ошибка, которая могла позволить хакерам создать столько «ETH» на балансе счета Optimism, сколько они пожелают, была впервые обнаружена белым хакером и разработчиком программы для джейлбрейка iOS Cydia Джеем Фриманом.
На прошлой неделе я обнаружил (и сообщил) о критической ошибке (которая была полностью исправлена) в @optimismPBC («решение для масштабирования второго уровня» для Ethereum), которая позволила бы злоумышленнику напечатать произвольное количество токенов, за что я получил баунти в размере $2,000,042.
— Джей Фриман (saurik) (@saurik) 10 февраля 2022 г.
В своем блоге Фриман объяснил, что ошибка «позволила бы злоумышленнику воспроизвести деньги на любой цепочке, использующей их форк ‘OVM 2.0’ для go-ethereum». За свои усилия Фриман получил одно из крупнейших на сегодняшний день вознаграждений за ошибку, общая сумма вознаграждения составила 2 000 042 доллара.
По словам команды Optimism, «ошибка позволяла создавать ETH на Optimism путем многократного срабатывания опкода SELFDESTRUCT на контракте с балансом ETH».
В своем блоге команда Optimism отметила, что история цепочки показала, что ошибка не эксплуатировалась, за исключением случайной активации сотрудником стартапа Etherscan, специализирующегося на данных Ethereum, но «не было сгенерировано никакого полезного избытка».
«Исправление проблемы было протестировано и развернуто в сетях Kovan и Mainnet компании Optimism (включая всех поставщиков инфраструктуры) в течение нескольких часов после подтверждения», — заявила команда, поблагодарив Infura, QuickNode и Alchemy за быстрое реагирование.
«Мы также предупредили несколько уязвимых форков Optimism и провайдеров мостов о наличии проблемы. Все эти проекты применили требуемое исправление».
В конце прошлого года Optimism удалил свой белый список, позволив любому разработчику начать создавать проекты в сети Optimism. До этого сеть была доступна только для определенных проектов, таких как Uniswap и Synthetix. Это ограничение облегчило разработчикам обнаружение и устранение потенциальных ошибок.
Optimism — это решение второго уровня масштабирования для сети Ethereum, использующее «оптимистичные сворачивания», которые объединяют транзакции за пределами блокчейна Ethereum.
Это дает преимущества в виде уменьшения проскальзывания, снижения стоимости транзакций и значительного повышения скорости транзакций. Однако, как показала эта ошибка, хотя протоколы второго уровня обеспечивают повышение эффективности, безопасность в процессе разработки остается общим предметом беспокойства.
Хотя это вознаграждение является одним из самых крупных, которые были выплачены до сих пор, MakerDAO только что объявила, что будет предлагать максимальное вознаграждение в размере 10 миллионов долларов тому, кто сможет указать на критические угрозы безопасности в ее смарт-контрактах. Это самая крупная серия баунти, когда-либо проводившаяся на платформе баунти Immunefi.