一名黑客在發現以太坊網絡的一個令人震驚的漏洞後,獲得了200 萬美元的漏洞賞金。如果黑帽黑客能夠利用數字資產獲取價值數十億美元的ETH,那麼這個漏洞可能會非常糟糕。相反,一個俗稱Saurik 的“灰帽”黑客將這個漏洞通知了以太坊團隊,並為自己獲得了可觀的回報。
尋找以太坊的漏洞
黑客Saurik 在Optimism(以太坊第2 層匯總解決方案)上發現了該漏洞。黑客本人發布了一份報告,說明他是如何在解決方案中發現漏洞的。通過查看匯總中的Nano支付協議,他發現了一個漏洞,該漏洞可能允許攻擊者從解決方案中肆無忌憚地提取“幾乎無限”數量的ETH。
它類似於部署在流行的智能合約區塊鏈Solana 上的攻擊方法,導致Wormhole 遭受3.53 億美元的黑客攻擊。樂觀主義,就像蟲洞一樣,造就了所謂的“點評以太”。用戶將他們的以太幣存入智能合約基本上作為質押品,它們甚至是僅存在於Optimism 網絡上的這些代幣。然後,他們使用Nano支付協議使交易變得越來越快。
ETH 回升至3,100 美元以上| 資料來源:TradingView.com 上的ETHUSD
以開發越獄iOS 聞名的Saurik 證實了該漏洞。然而,這位自稱灰帽黑客的人並沒有利用該漏洞謀取私利,而是將其報告給了Optimism 開發人員。作為回報,Saurik 因其利他主義獲得了200 萬美元的獎金,這有助於使網絡和layer 2 rollup 對用戶來說更安全。
揭穿流行謠言
在漏洞和隨後的賞金支付的消息傳出後,有傳言說如果攻擊者選擇不向開發人員報告,他們可以用它做什麼。其中最受歡迎的是攻擊者能夠從網絡中提取無限量的ETH。雖然這有一些優點,但它在很大程度上是錯誤的。
首先,該漏洞存在於第2 層匯總解決方案Optimism 上。雖然協議存在於以太坊網絡上,但它不是網絡本身。這意味著該漏洞僅局限於協議。因此,雖然攻擊者可以利用這一點提取“無限”數量的ETH,但他們只能提取Optimism 地址上的可用餘額。
儘管如此,如果黑帽黑客發現了該漏洞,其結果將對第2 層協議的用戶造成毀滅性的後果仍然不是什麼秘密。此事件充分說明了錯誤賞金的有用性。雖然一開始這些賞金的回報可能看起來太大了,但人們必須考慮如果沒有激勵黑客提出他們的發現的替代方案會是什麼。白帽黑客無疑幫助每年節省數百萬甚至數十億美元。
Gagadget 的特色圖片,TradingView.com 的K線走勢圖
資訊來源:由0x資訊編譯自NEWSBTC。版權歸作者所有,未經許可,不得轉載
0X簡體中文版:黑客發現以太坊匯總中的致命缺陷後獲得200 萬美元的賞金