Pe 10 februarie, binecunoscutul dezvoltator al Cydia și iOS Jailbreak, Jay Freeman, altfel cunoscut sub numele de Saurik, a publicat un thread pe Twitter despre o eroare pe care a găsit-o în protocolul de scalare Layer-2 (L2), cunoscut sub numele de Optimism. Potrivit lui Freeman, vulnerabilitatea, care a fost corectată, ar fi putut permite unui atacator să creeze o cantitate infinită de jetoane.
Creatorul Cydia „Saurik” descoperă vulnerabilitatea Optimism L2
Jay Freeman este un dezvoltator de software proeminent, binecunoscut pentru instrumentele sale iOS Jailbreak și Cydia. Interfața grafică de utilizator Cydia (GUI) a lui Freeman a fost lansată în februarie 2008 și oferă utilizatorilor cu iPhone-uri jailbreakate posibilitatea de a descărca software neautorizat pentru sistemul de operare iOS al smartphone-ului Apple. Freeman a publicat recent o postare pe blog numită „Attacking an Ethereum L2 with Unbridled Optimism”, care explică modul în care a raportat o problemă critică de securitate dezvoltatorilor soluției de scalare L2 Optimism.
Soluția L2 de la Optimism permite utilizatorilor să mute ethereum pentru o fracțiune din cost. În prezent, mutarea eterului folosind Optimism poate costa 0.56 USD per transfer, spre deosebire de taxele de gaz L1 de astăzi, care sunt de 3.29 USD per tranzacție. Pentru a schimba monede în lanț folosind L1, un utilizator va costa 16.47 USD în eter, dar utilizarea Optimism pentru a schimba monede va costa 0.83 USD. Freeman a raportat vulnerabilitatea Optimism pe 2 februarie 2022, iar bug-ul a fost corectat de atunci.
Atacul i-ar fi permis „un atacator să reproducă bani pe orice lanț folosind fork-ul lor „OVM 2.0” de go-ethereum (pe care îl numesc l2geth)”, a spus Freeman. Dezvoltatorul a explicat în continuare că intenționează să vorbească despre vulnerabilitatea Optimism pe 18 februarie la Ethdenver 2022. De asemenea, Freeman a fost acordate o recompensă de 2,000,042 USD pentru descoperirea erorii și dezvăluirea acesteia echipei. Postarea de blog a inginerului software descrie modul în care atacatorul ar putea bate o cantitate arbitrară de jetoane înainte ca eroarea să fie corectată.
„Eroarea prezentată aici – pe care o numesc „Optimism neînfrânat” – poate fi modelată (în mod crud) ca un bug pe partea îndepărtată a „podului”,” a scris Freeman. „Dar este de fapt o eroare în mașina virtuală care execută contracte inteligente pe Optimism. Exploatarea acestui lucru permite atacatorului să aibă acces la un număr efectiv nelimitat de jetoane (alias, IOU-uri) pe partea îndepărtată a podului. Consider că acest lucru este mai periculos decât a păcăli rezervele pentru a permite o retragere.” Dezvoltatorul a continuat:
În plus, cu oferta nelimitată de IOU-uri, ați putea merge la fiecare schimb descentralizat care rulează pe L2 și ați face probleme cu economiile lor, cumpărând cantități mari de alte jetoane în timp ce devalorizați propria monedă a lanțului. Folosindu-vă accesul la capital infinit, puteți manipula în continuare oracolele de preț onchain pentru a le folosi pentru alte atacuri; și, până când cineva își dă seama în sfârșit că banii tăi sunt contrafăcuți, arbitrii se vor aduna în rețea pentru a-ți vinde activele lor.
Pesimismul din jurul aplicațiilor încrucișate
Pe lângă vulnerabilitatea găsită în Optimism, Freeman a discutat în detaliu despre tehnologia podurilor încrucișate. Dezvoltatorul a menționat că în aceeași zi în care a dezvăluit bug-ul lui Optimism, podul Wormhole a fost atacat. Freeman a atins și hack-ul Poly Network în postarea sa. „Chiar și atunci când hackerii fură bani de pe un pod, ramificațiile sunt limitate”, explică postarea lui Freeman pe blog.
Freeman care descoperă bug-ul Optimism urmărește multitudinea de hack-uri împotriva podurilor încrucișate și noua preocupare a comunității cu privire la securitatea acestei tehnologii inovatoare. Postarea de blog a dezvoltatorului Cydia menționează concepte precum „polițe de asigurare” împotriva hackurilor criptografice. În plus, cofondatorul Ethereum (ETH), Vitalik Buterin, a discutat recent despre preocupările legate de securitatea platformelor de poduri încrucișate. „Sunt pesimist cu privire la aplicațiile cross-chain”, declară o postare recentă pe Reddit a lui Buterin.
Ce părere aveți despre descoperirea erorii lui Jay Freeman despre Optimism? Spune-ne ce părere ai despre acest subiect în secțiunea de comentarii de mai jos.
Credite de imagine: Shutterstock, Pixabay, Wiki Commons
Declinare a responsabilităţii: Acest articol este doar în scop informativ. Nu este o ofertă directă sau o solicitare directă a unei oferte de cumpărare sau vânzare sau o recomandare sau aprobare a unor produse, servicii sau companii. Bitcoin.com nu oferă sfaturi de investiții, impozite, juridice sau contabile. Nici compania, nici autorul nu sunt responsabili, direct sau indirect, pentru orice daune sau pierderi cauzate sau presupuse a fi cauzate de sau în legătură cu utilizarea sau dependența de conținut, bunuri sau servicii menționate în acest articol.
Sursa: https://news.bitcoin.com/cydia-dev-discloses-ethereum-l2-bug-optimism-attacker-could-have-printed-an-arbitrary-quantity-of-tokens/