Разработчики проекта Optimism сообщили о критической уязвимости в своём форке Geth, которая позволяла злоумышленникам создавать бесконечное количество эфиров. Серьёзный баг был впервые обнаружен белым хакером и разработчиком программного обеспечения Cydia для джейлбрейка iOS Джеем Фриманом (Jay Freeman). В своём посте Фриман подробно объяснил, что уязвимость давала возможность каждому дублировать деньги в любой цепочке, используя форк Go-Ethereum OVM 2.0. За свои старания разработчик получил крупнейшее на сегодняшний день вознаграждение, которое составило 2 000 042 доллара. На текущий момент проблема уже устранена.
Last week, I discovered (and reported) a critical bug (which has been fully patched) in @optimismPBC (a «layer 2 scaling solution» for Ethereum) that would have allowed an attacker to print arbitrary quantity of tokens, for which I won a $2,000,042 bounty. https://t.co/J6KOlU8aSW
— Jay Freeman (saurik) (@saurik) February 10, 2022
По словам команды проекта, уязвимость позволяла создать ETH на Optimism, многократно активировав код операции SELFDESTRUCT для пополнения баланса. В блоге Optimism сказано, что проведенный анализ показал отсутствие случаев использования ошибки, за исключением случайной её активации сотрудником стартапа Etherscan. Однако он не использовал такую возможность для обогащения. В конце прошлого года команда проекта убрала белый список, что позволило любому разработчику создавать проекты в сети Optimism. Ранее сеть была доступна только для определённых проектов, таких как Uniswap и Synthetix. Такое ограничение упрощало обнаружение и устранение потенциальных уязвимостей.
Optimism — это решение масштабирования второго уровня для сети Ethereum, использующее «оптимистичные свёртки», которые объединяют транзакции за пределами блокчейна Ethereum. Это обеспечивает уменьшение проскальзывания, снижение транзакционных издержек и значительно повышает скорость транзакций. Но как показала практика, в то время как протоколы второго уровня обеспечивают повышение эффективности, безопасность остаётся общей проблемой.
Несмотря на то, что это вознаграждение является крупнейшим по программе bug bounty, разработчики платформы MakerDAO уже объявили, что установят максимальное вознаграждение в размере 10 млн долларов тому, кто найдёт критические угрозы безопасности в их смарт-контрактах.
