Công ty khởi nghiệp mở rộng quy mô Ethereum Lạc quan đã tiết lộ một bản sửa lỗi “nghiêm trọng” trong Geth fork của dự án có thể cho phép tin tặc độc hại tạo ra ETH vô hạn
Tin tức
Các nhà phát triển từ dự án mở rộng Ethereum Lớp 2, Optimism đã thông báo rằng một “lỗi nghiêm trọng” đã được xác định và sau đó đã được vá vào đầu tháng này.
Lỗi, có thể cho phép tin tặc tạo ra nhiều ‘ETH’ trong số dư tài khoản Lạc quan như họ muốn, lần đầu tiên được phát hiện bởi hacker mũ trắng và nhà phát triển phần mềm bẻ khóa iOS Cydia Jay Freeman.
Tuần trước, tôi đã phát hiện (và báo cáo) một lỗi nghiêm trọng (đã được vá đầy đủ) trong @optimismPBC (một “giải pháp mở rộng quy mô lớp 2” cho Ethereum) có thể cho phép kẻ tấn công in số lượng mã thông báo tùy ý, mà tôi đã giành được tiền thưởng 2.000.042 đô la. https://t.co/J6KOlU8aSW
– Jay Freeman (saurik) (@saurik) Ngày 10 tháng 2 năm 2022
Trong một blog chuyên sâu bài đăngFreeman giải thích rằng lỗi, “sẽ cho phép kẻ tấn công sao chép tiền trên bất kỳ chuỗi nào bằng cách sử dụng fork ‘OVM 2.0’ của go-ethereum”. Vì những nỗ lực của mình, Freeman đã được trao một trong những lớn nhất tiền thưởng lỗi cho đến nay, thu được tổng số tiền thưởng là $ 2.000.042
Theo nhóm Lạc quan, “Lỗi đã khiến có thể tạo ETH trên Lạc quan bằng cách kích hoạt liên tục opcode SELFDESTRUCT trên một hợp đồng có số dư ETH”.
Trong một blog bài đăngnhóm Optimism lưu ý rằng lịch sử chuỗi của nó cho thấy rằng lỗi đã không bị khai thác, ngoại trừ một lần kích hoạt ngẫu nhiên bởi một nhân viên tại công ty khởi nghiệp dữ liệu Ethereum Etherscan, nhưng “không có phần thừa có thể sử dụng được nào được tạo ra”.
“Bản sửa lỗi cho vấn đề đã được kiểm tra và triển khai cho các mạng Kovan và Mainnet của Optimism (bao gồm tất cả các nhà cung cấp cơ sở hạ tầng) trong vòng vài giờ sau khi xác nhận,” nhóm cho biết, cảm ơn Infura, QuickNode và Alchemy vì thời gian phản hồi nhanh của họ.
“Chúng tôi cũng đã cảnh báo nhiều nhánh Lạc quan dễ bị tổn thương và các nhà cung cấp cầu nối về sự hiện diện của vấn đề này. Các dự án này đều đã áp dụng bản sửa lỗi theo yêu cầu ”.
Cuối năm ngoái Sự lạc quan đã loại bỏ nó danh sách trắng, cho phép bất kỳ nhà phát triển nào bắt đầu xây dựng các dự án trên mạng Lạc quan. Trước đó, mạng chỉ có thể truy cập vào các dự án cụ thể như Uniswap và Synthetix. Hạn chế này giúp các nhà phát triển dễ dàng phát hiện và giải quyết các lỗi tiềm ẩn hơn
Có liên quan: MakerDAO tung ra tiền thưởng lỗi lớn nhất từ trước đến nay với phần thưởng 10 triệu đô la
Lạc quan là giải pháp mở rộng quy mô Lớp 2 cho mạng Ethereum, sử dụng “các bản tổng hợp lạc quan”Tổng hợp các giao dịch bên ngoài chuỗi khối Ethereum.
Điều này mang lại lợi ích là giảm trượt giá, giảm chi phí giao dịch và cải thiện đáng kể tốc độ giao dịch. Tuy nhiên, lỗi này đã được làm rõ, trong khi các giao thức Lớp 2 cung cấp các cải tiến về hiệu quả, bảo mật trong quá trình phát triển liên tục vẫn là một điểm chung cần quan tâm.
Mặc dù khoản tiền thưởng này là khoản tiền thưởng lớn nhất được trả cho đến nay, MakerDAO vừa thông báo rằng họ sẽ cung cấp khoản tiền thưởng tối đa là 10 triệu đô la cho bất kỳ ai có thể chỉ ra các mối đe dọa bảo mật quan trọng trong các hợp đồng thông minh của mình. Đây là loạt tiền thưởng lỗi lớn nhất từng được lưu trữ trên nền tảng tiền thưởng lỗi Immunefi.
Theo Cointelegraph
