" Разработчики из проекта масштабирования Ethereum Layer 2 Optimism объявили, что в начале этого месяца была обнаружена и впоследствии исправлена «критическая ошибка» в форке Geth проекта, которая позволила бы хакерам-злоумышленникам создавать бесконечные ETH.
Ошибка, которая могла позволить хакерам создать столько «ETH» на балансе учетной записи Optimism, сколько они хотели, была впервые обнаружена белым хакером и разработчиком программного обеспечения для джейлбрейка (разблокировки) iOS Cydia Джеем Фриманом.
В подробном сообщении в блоге Фриман объяснил, что ошибка «позволит злоумышленнику копировать деньги в любой цепочке, используя свой форк OVM 2.0 go-ethereum». За свои усилия Фриман получил одну из крупнейших на сегодняшний день наград за обнаружение ошибок, общая сумма вознаграждения составила 2 000 042 доллара.
По словам команды Optimism, «ошибка позволяла создать ETH на Optimism, многократно активировав код операции SELFDESTRUCT для контракта, в котором был баланс ETH».
В сообщении своего блога команда Optimism отметила, что история ее блокчейна показала, что ошибка не использовалась, за исключением случайной активации сотрудником стартапа данных Ethereum Etherscan, но «не было создано никаких пригодных для использования излишков».
«Исправление этой проблемы было протестировано и развернуто в сетях Optimism Kovan и Mainnet (включая всех поставщиков инфраструктуры) в течение нескольких часов после подтверждения», — сказали в команде, поблагодарив Infura, QuickNode и Alchemy за быстрое время отклика.
«Мы также предупредили несколько уязвимых форков Optimism и провайдеров мостов о наличии проблемы. Все эти проекты применили требуемое исправление», - говорится в сообщении Optimism.
В конце прошлого года Optimism удалил свой белый список, что позволило любому разработчику начать создавать проекты в сети Optimism. До этого сеть была доступна только для определенных проектов, таких как Uniswap и Synthetix. Это ограничение упростило разработчикам обнаружение и устранение потенциальных ошибок.
Optimism — это масштабирующее решение уровня 2 для сети Ethereum, использующее «оптимистические свертки», которые объединяют транзакции за пределами блокчейна Ethereum.
Это обеспечивает преимущества сокращения проскальзывания, снижения транзакционных издержек и значительного повышения скорости транзакций. Однако, как показала эта ошибка, в то время как протоколы Layer 2 обеспечивают повышение эффективности, безопасность во время текущей разработки остается общей проблемой.
Хотя это вознаграждение является одним из крупнейших, которые были выплачены на данный момент, MakerDAO (MKR) только что объявила, что предложит максимальную награду в размере 10 миллионов долларов любому, кто укажет на критические угрозы безопасности в своих смарт-контрактах. Это крупнейшая серия вознаграждений за обнаружение ошибок, когда-либо проводившихся на баг-баунти платформе Immunefi.
