以太坊擴容創業公司Optimism 在項目的Geth 分叉中修復了一個“關鍵漏洞”,該漏洞可能會讓惡意黑客無限創建ETH。
以太坊第2 層擴展項目Optimism 的開發人員宣布,已發現一個“嚴重錯誤”並隨後在本月早些時候進行了修補。
該漏洞本可以讓黑客在Optimism 賬戶餘額中創建盡可能多的“ETH”,最初是由白帽黑客和iOS 越獄軟件Cydia 開發人員Jay Freeman 發現的。
在一篇深入的博客文章中,Freeman解釋說,該漏洞“將允許攻擊者使用他們的go-ethereum的’OVM 2.0’分叉在任何鏈上複製資金”。由於他的努力,Freeman獲得了迄今為止最大的漏洞賞金之一,總獎勵金額為2,000,042 美元
根據Optimism 團隊的說法,“該漏洞使得可以通過在持有ETH 餘額的合約上反复觸發SELFDESTRUCT 操作碼來在Optimism 上創建ETH。”
在一篇博客文章中,Optimism 團隊指出,其鏈歷史顯示,除了以太坊數據初創公司Etherscan 的一名工作人員意外激活該漏洞外(沒有產生可用的額外漏洞),該漏洞並未被利用。
該團隊表示:“在確認後數小時內,對該問題的修復進行了測試並部署到Optimism 的Kovan 和Mainnet 網絡(包括所有基礎設施提供商),”感謝Infura、QuickNode 和Alchemy 的快速響應。
“我們還提醒多個易受攻擊的Optimism 分叉和橋接提供商注意該問題的存在。這些項目都應用了所需的修復。”
去年年底,Optimism 刪除了其白名單(允許任何開發人員開始在Optimism 網絡上構建項目)。在此之前,該網絡僅適用於Uniswap 和Synthetix 等特定項目。此限制使開發人員更容易檢測和解決潛在的漏洞。
Optimism 是以太坊網絡的第2 層擴展解決方案,採用“optimistic rollups” 聚合以太坊區塊鏈之外的交易。
這提供了減少滑點、降低交易成本和大大提高交易速度的好處。然而,正如這個錯誤所表明的那樣,雖然第2 層協議提高了效率,但持續開發過程中的安全性仍然是一個共同的關注點。
雖然這筆獎金是迄今為止支付的最大一筆獎金,但MakerDAO 剛剛宣布,它將向任何能夠在其智能合約中指出嚴重安全威脅的人提供最高1000 萬美元的獎金。這是迄今為止在漏洞賞金平台Immunefi 上託管的最大的漏洞賞金系列。