Den 10 februari publicerade den välkända utvecklaren av Cydia och iOS Jailbreak, Jay Freeman, även känd som Saurik, en Twitter-tråd om en bugg som han hittade i skalningsprotokollet Layer-2 (L2) känt som Optimism. Enligt Freeman kunde sårbarheten, som har åtgärdats, ha gjort det möjligt för en angripare att skapa en oändlig mängd tokens.
Cydia Creator "Saurik" upptäcker sårbarhet i Optimism L2
Jay Freeman är en framstående mjukvaruutvecklare som är välkänd för sina iOS Jailbreak och Cydia-verktyg. Freemans Cydia grafiska användargränssnitt (GUI) släpptes i februari 2008, och det ger användare med jailbroken iPhones möjligheten att ladda ner obehörig programvara för Apples smartphone-operativsystem iOS. Freeman publicerade nyligen ett blogginlägg som heter "Attacking an Ethereum L2 with Unbridled Optimism", som förklarar hur han rapporterade ett kritiskt säkerhetsproblem till utvecklarna av L2-skalningslösningen Optimism.
Optimisms L2-lösning tillåter användare att flytta ethereum för en bråkdel av kostnaden. För närvarande kan flyttning av eter med Optimism kosta $0.56 per överföring till skillnad från L1-gasavgifterna idag som är $3.29 per transaktion. Att byta mynt på kedjan med L1 kommer att kosta en användare $16.47 i eter men att använda Optimism för att byta mynt kommer att kosta $0.83. Freeman rapporterade Optimism-sårbarheten den 2 februari 2022 och felet har sedan åtgärdats.
Attacken skulle ha tillåtit "en angripare att replikera pengar på vilken kedja som helst med sin "OVM 2.0"-gaffel av go-ethereum (som de kallar l2geth)", sa Freeman. Utvecklaren förklarade vidare att han planerar att prata om Optimism-sårbarheten den 18 februari på Ethdenver 2022. Freeman var också tilldelas en belöning på $2,000,042 XNUMX XNUMX för att ha upptäckt felet och avslöjat det för teamet. Programvaruingenjörens blogginlägg beskriver hur angriparen kunde skapa en godtycklig mängd tokens innan felet korrigerades.
"Buggen som presenteras här - som jag kallar "Otyglad optimism" - kan kanske (grovt) modelleras som en bugg på bortre sidan av en "bro", skrev Freeman. "Men är faktiskt en bugg i den virtuella maskinen som utför smarta kontrakt på Optimism. Genom att utnyttja detta kan angriparen ha tillgång till ett effektivt obegränsat antal tokens (alias IOUs) på den andra sidan av bron. Det är mitt påstående att detta är farligare än att bara lura reserverna att tillåta ett uttag.” Utvecklaren fortsatte:
Vidare, med ditt obegränsade utbud av IOUs, kan du gå till varje decentraliserad börs som körs på L2 och bråka med deras ekonomier, köpa upp stora mängder andra tokens samtidigt som du devalverar kedjans egen valuta. Genom att använda din tillgång till oändligt kapital kan du ytterligare manipulera onchain prissättningsorakel för att utnyttja för andra attacker; och tills någon äntligen inser att dina pengar är förfalskade, kommer arbitragers att flockas till nätverket för att sälja sina tillgångar till dig.
Pessimismen kring tvärkedjade applikationer
Utöver den sårbarhet som finns i Optimism diskuterade Freeman bryggteknologi i flera kedjor i detalj. Utvecklaren nämnde att samma dag som han avslöjade felet för Optimism, attackerades Wormhole-bron. Freeman berörde också Poly Network-hacket i sitt inlägg. "Även när hackare stjäl pengar från en bro, är konsekvenserna begränsade", förklarar Freemans blogginlägg.
Freeman som upptäcker Optimism-buggen följer mängden hacks mot tvärkedjebroar och samhällets nyfunna oro över säkerheten för denna kommande teknik. Cydia-utvecklarens blogginlägg nämner begrepp som "'försäkringar' mot kryptohack." Dessutom diskuterade Ethereums (ETH) medgrundare Vitalik Buterin nyligen oro kopplade till säkerheten för broplattformar med tvärkedjor. "Jag är pessimistisk om applikationer över kedjan", förklarar ett nyligen Reddit-inlägg av Buterin.
Vad tycker du om Jay Freemans upptäckt av Optimism bugg? Låt oss veta vad du tycker om detta ämne i kommentarsfältet nedan.
Bildkrediter: Shutterstock, Pixabay, Wiki Commons
Villkor: Den här artikeln är endast för informationssyften. Det är inte ett direkt erbjudande eller uppmaning till ett erbjudande att köpa eller sälja, eller en rekommendation eller godkännande av produkter, tjänster eller företag. Bitcoin.com tillhandahåller inte investeringar, skatter, juridiska eller redovisningsråd. Varken företaget eller författaren ansvarar, direkt eller indirekt, för skador eller förluster orsakade eller påstådda orsakats av eller i samband med användning av eller förlitar sig på innehåll, varor eller tjänster som nämns i denna artikel.
Källa: https://news.bitcoin.com/cydia-dev-discloses-ethereum-l2-bug-optimism-attacker-could-have-printed-an-arbitrary-quantity-of-tokens/