- Решение для масштабирования Ethereum второго уровня Optimism обнаружило и устранило критическую ошибку, которая могла привести к повторному созданию токенов ETH.
- Проблема была впервые обнаружена и сообщена разработчиком Джеем Фриманом, который впоследствии получил вознаграждение в размере $2 млн.
Optimism, четвертое по величине решение для масштабирования второго уровня Ethereum по общей стоимости блокировки (TVL), недавно обнаружила и впоследствии исправила «критическую ошибку» в своем коде. Сеть узнала об уязвимости на прошлой неделе после того, как ее обнаружил и сообщил о ней белый хакер Джей Фриман — разработчик протоколов Cydia и Orchid.
По имеющимся данным, ошибка была непреднамеренно запущена сотрудником Etherescan. Это позволило бы бесконечно создавать токены ETH путем срабатывания кода на контракте, хранящем баланс ETH. Как объяснил Фриман в глубокой записи в блоге, ошибка «позволила бы злоумышленнику реплицировать деньги на любой цепи, используя их форк ‘OVM 2.0’ go-ethereum». Аналогичное объяснение команды Optimism гласит:
Ошибка позволяла создавать ETH на Optimism путем многократного срабатывания опкода SELFDESTRUCT на контракте, имеющем баланс ETH.
Оптимизм вводит исправление ошибки создания ETH
К счастью для сети, никто из злоумышленников не узнал об ошибке до ее исправления. В течение нескольких часов после подтверждения проблемы Optimism протестировала и развернула исправление на тестовой сети Kovan и в сети Optimism Mainnet. Кроме того, команда уведомила другие уязвимые форки Optimism и провайдеров мостов о технической слабости. Теперь все проекты, связанные с Optimism, свободны от ошибки.
В знак благодарности Optimism присудил Фриману максимальное и одно из самых больших вознаграждений в размере $2 000 042. Если бы ошибка не была вовремя обнаружена, сеть, скорее всего, понесла бы большие потери. Кроме того, вознаграждение побуждает других членов сообщества разработчиков сообщать о подобных уязвимостях, а не использовать их.
Проблемы безопасности в криптопроектах
Optimism — не единственное решение для масштабирования Ethereum, у которого были проблемы с ошибками. В конце декабря компания Polygon тихо исправила ошибку, из-за которой 9,27 млрд из 10 млрд токенов MATIC оказались под угрозой кражи. Двое хакеров, первыми сообщивших о проблеме, получили вознаграждение в размере 3,5 миллиона долларов. А в октябре с помощью другого «белого хакера» компания Polygon устранила еще одну уязвимость. Она могла стоить ей 850 миллионов долларов.
Читать далее: Polygon объясняет недавнее исправление критической ошибки, которая могла стоить сети более $24млд