Разработчики проекта Optimism, посвящённого масштабированию Ethereum, сообщили об обнаружении критического бага, позволявшего создавать произвольное количество токенов данной криптовалюты. На данный момент такая возможность устранена и за обнаружение бага выплачено рекордное вознаграждение.
![]()
Фото из открытых источников
Уязвимость в теории позволяла злоумышленникам создавать столько Ethereum в аккаунте Optimism, сколько им заблагорассудилось бы — это обнаружил белый хакер Джей Фриман (Jay Freeman), который наиболее известен как разработчик ПО Cydia для взлома iOS.
В одном из постов Фриман объяснил, что баг позволял атакующему дублировать деньги, используя форк Optimistic Virtual Machine (OVM) 2.0 инструмента Go Ethereum. За свою находку Фриман получил крупнейшую в истории «баунти-хантеров» награду — $2 000 042. По данным команды Optimism, баг позволял создавать на их платформе Ethereum многократно запуская исполнительный код SELFDESTRUCT для пополнения баланса.
В блоге Optimism упомянуто, что анализ блокчейна показал, что баг не эксплуатировался ранее, за исключением случайной активации сотрудником стартапа Etherscan, но и тот не использовал представившиеся возможности. Проблема была устранена Optimism в течение нескольких часов после того, как её существование подтвердилось.
В конце прошлого года Optimism отказалась от «белого списка», позволив любым разработчикам строить проекты в своей сети. До этого она была доступна только специальным проектам вроде Uniswap и Synthetix. Это ограничение упрощало распознавание и устранение потенциальных багов.
Optimism представляет собой решение для масштабирования Layer 2 для сети Ethereum, выполняющее транзакции во внешней цепочке, за пределами основной сети Ethereum. Это, в частности, крайне благотворно сказывается на скорости и стоимости транзакций. При этом обнаружение бага показало, что протоколы уровня Layer 2 более уязвимы для внешнего вмешательства.
Хотя награда Фриману является одной из самых крупных в истории, система MakerDAO уже сообщила, что будет предлагать награду до $10 млн за обнаружение критических уязвимостей в своих смарт-контрактах.
