Критична уязвимост в етериум донесе рекордно голяма награда на Джей Фрийман
(снимка: Jay Freeman (saurik) / Twitter)
Разработчиците от проекта Optimism, посветен на мащабирането на етериум (Ethereum), съобщиха за критична грешка, която позволява създаване на произволен брой токени на криптовалутата. Към момента тази възможност е елиминирана, а специалистът, открил грешката, е получил рекордна награда.
Уязвимостта на теория позволява на нападателите да създадат толкова етеруим токени в акаунт на Optimism, колкото биха искали. Грешката е открита от белия хакер Джей Фрийман, който е известен като разработчик на софтуера Cydia за хакване на iOS.
В блог публикация Фрийман казва, че уязвимостта позволява на атакуващите да дублират пари, използвайки разклонението Optimistic Virtual Machine (OVM) 2.0 на инструмента Go Ethereum. Фрийман е получил най-голямата награда, давана досега за откриване на бъгове – 2 000 042 долара.
Екипът на Optimism пояснява, че грешката позволява създаване на етериум на тяхната платформа чрез многократно пускане на изпълнимия код SELFDESTRUCT за попълване на баланса.
Според публикация в блога на Optimism, анализът на блокчейна е показал, че уязвимостта не е използвана досега, с изключение на случайно активиране от служител на стартъпа Etherscan. Проблемът е отстранен от Optimism в рамките на часове след като е потвърдено, че съществува.
В края на миналата година Optimism изостави „белия списък”, позволявайки на всеки разработчик да изгражда проекти в своята мрежа. Преди това мрежата беше достъпна само за специални проекти като Uniswap и Synthetix. Ограничението правеше по-лесно разпознаването и премахването на потенциални грешки.
Optimism е решение за Layer 2 мащабиране на мрежата на етериум, което изпълнява транзакции във външната верига, извън основната мрежа. Това има много благоприятен ефект върху скоростта и цената на транзакциите. В същото време откриването на бъг показа, че протоколите на Layer 2 са по-уязвими към външни вмешателства.
Въпреки че наградата на Фрийман е една от най-големите в историята, системата MakerDAO вече обяви, че ще предложи награда до 10 милиона долара за откриване на критични уязвимости в своите смарт-договори.
Смятай ако беше черен хакер! ******
Според мен е бежаво-оранжев хакер е лек охра привкус, ама няма да скачам на бой заради това. Дебили.