Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Разработчики проекта Optimism, посвящённого масштабированию Ethereum, сообщили об обнаружении критического бага, позволявшего создавать произвольное количество токенов данной криптовалюты. На данный момент такая возможность устранена и за обнаружение бага выплачено рекордное вознаграждение.
Уязвимость в теории позволяла злоумышленникам создавать столько Ethereum в аккаунте Optimism, сколько им заблагорассудилось бы — это обнаружил белый хакер Джей Фриман (Jay Freeman), который наиболее известен как разработчик ПО Cydia для взлома iOS.
В одном из постов Фриман объяснил, что баг позволял атакующему дублировать деньги, используя форк Optimistic Virtual Machine (OVM) 2.0 инструмента Go Ethereum. За свою находку Фриман получил крупнейшую в истории «баунти-хантеров» награду — $2 000 042. По данным команды Optimism, баг позволял создавать на их платформе Ethereum многократно запуская исполнительный код SELFDESTRUCT для пополнения баланса.
В блоге Optimism упомянуто, что анализ блокчейна показал, что баг не эксплуатировался ранее, за исключением случайной активации сотрудником стартапа Etherscan, но и тот не использовал представившиеся возможности. Проблема была устранена Optimism в течение нескольких часов после того, как её существование подтвердилось.
В конце прошлого года Optimism отказалась от «белого списка», позволив любым разработчикам строить проекты в своей сети. До этого она была доступна только специальным проектам вроде Uniswap и Synthetix. Это ограничение упрощало распознавание и устранение потенциальных багов.
Optimism представляет собой решение для масштабирования Layer 2 для сети Ethereum, выполняющее транзакции во внешней цепочке, за пределами основной сети Ethereum. Это, в частности, крайне благотворно сказывается на скорости и стоимости транзакций. При этом обнаружение бага показало, что протоколы уровня Layer 2 более уязвимы для внешнего вмешательства.
Хотя награда Фриману является одной из самых крупных в истории, система MakerDAO уже сообщила, что будет предлагать награду до $10 млн за обнаружение критических уязвимостей в своих смарт-контрактах.
Источник: