Hacker na začátku února přišel na to, jak oklamat řešení škálování Etherea Optimism, aby efektivně tiskl neomezeně ether.
Softwarový inženýr Jay Freeman nevyužil exploit, ale místo toho nahlásil problém vývojovému týmu, který mu vyplatil odměnu ve výši 2 milionů dolarů.
Freeman je pravděpodobně nejlépe známý svou prací na Cydii, obchodu s aplikacemi pro jailbreaknuté iPhony. V poslední době však hledal chyby na blockchainech.
Podle rozpisu na webových stránkách Freeman objevil závadu při zkoumání takzvaných „nano platebních protokolů“.
Optimism je jedním z těchto protokolů. Umožňují uživatelům posílat malé množství kryptoměn s malými transakčními poplatky, i když s bezpečnostními kompromisy.
Podobně jako u blockchainových mostů, jako je Wormhole, platforma razí alternativní tokeny Ether, které existují pouze v síti Optimismu.
Uživatelé nejprve uzamknou své ETH v rámci chytré smlouvy jako zajištění, aby obdrželi své tokeny, které se zdvojnásobují jako IOU.
Tyto tokeny lze poté provádět rychleji a levněji ve srovnání s transakcemi v řetězci (téměř okamžitě), což z Optimismu dělá potenciální řešení „vrstvy 2“ (L2) pro škálování Etherea.
Když uživatelé Optimismu chtějí vyplatit své IOU, musí nejprve počkat jeden týden, než budou uvolněny jejich „skutečné“ tokeny Ether.
Freeman objevil závadu v části kódu Optimism, která nutí chytré smlouvy, aby se samy smazaly a vrátily související Ether odesílateli.
Funkce „SELFDESTRUCT“ vrátila krypto odesílateli, ale ponechala si související off-chain Ether IOUs.
Toho by se dalo využít k oklamání chytrých smluv, aby se přes chybu dostaly do smyčky – čímž by se razilo nekonečné krypto „vrstvy 2“.
Ether vytvořený chybou byl padělaný, ale Freeman navrhl, že by mohl způsobit zmatek v širším krypto ekosystému.
„S vaší neomezenou nabídkou IOU byste mohli jít na každou decentralizovanou burzu běžící na L2 a pokazit jejich ekonomiku, nakupovat obrovské množství jiných tokenů a přitom devalvovat vlastní měnu řetězce,“ napsal Freeman.
Tyto bezpečnostní chyby jsou známé jako chyby přetečení. V roce 2010 (kdy byl Bitcoin ještě dítě) někdo zneužil kód k vyražení 184 miliard BTC.
K resetování blockchainu a vrácení na pevně zakódovaný limit 21 milionů BTC, jak zamýšlel Satoshi Nakamoto, bylo zapotřebí soft forku.
Zajímavé je, že Freeman řekl, že někdo z průzkumníka blockchainu Ethereum Etherscan narazil na chybu již dříve, na Štědrý den minulého roku, ale možná si neuvědomil její potenciál.
“Upřímně řečeno, bylo to, jako by si někdo všiml chyby – když viděl, že Etherscan nechal rovnováhu na místě poté, co byla smlouva zničena – a dokonce si s ní trochu hrál, ale neuvědomil si, že je zneužitelná.”
Freeman věří, že povaha „vysokých sázek“ kryptoměn znamená, že chyby, které podkopávají bezpečnost, by se v první řadě neměly dostat k nasazení.
Freeman poznamenal, že se někdy „zdráhá“ pomáhat blockchainovým projektům se „základními otázkami decentralizace nebo bezpečnosti“, jako se základními principy technologie, které „nelze vymýšlet dodatečně“.
“Tyto věci jsou příliš důležité na to, aby se rychle uvolnily a upravily design v terénu,” napsal.
“A přesto vidíme kryptoprojekt za kryptoprojektem, jak se snaží externalizovat náklady na svůj základní design na lidi, kteří jsou kompenzováni pouze nepřímo, spíše než budovat tým složený z matematiků, ekonomů a bezpečnostních expertů.”
Zdroj: protos.com
