Nhà phát triển bẻ khóa iOS nhận được 2 triệu đô la khi khám phá lỗ hổng quan trọng của chủ nghĩa lạc quan

Các nhà phát triển của dự án mở rộng lớp 2 Ethereum Optimism đã thông báo rằng một "lỗi nghiêm trọng" đã được phát hiện và sau đó đã được vá vào đầu tháng này.

Lỗi cho phép tin tặc tạo càng nhiều "ETH" càng tốt trong số dư tài khoản Optimism, ban đầu được phát hiện bởi hacker mũ trắng và nhà phát triển Cydia bẻ khóa iOS Jay Freeman.

Trong một bài đăng chuyên sâu trên blog, Freeman giải thích rằng lỗ hổng "sẽ cho phép kẻ tấn công sao chép tiền trên bất kỳ chuỗi nào bằng cách sử dụng nhánh 'OVM 2.0' của go-ethereum". Vì những nỗ lực của mình, Freeman đã nhận được một trong những khoản tiền thưởng tìm lỗi lớn nhất cho đến nay, với tổng phần thưởng là 2.000.042 USD

Theo nhóm Optimism, "Lỗi này có thể tạo ETH trên Optimism bằng cách kích hoạt liên tục opcode SELFDESTRUCT trên hợp đồng giữ số dư ETH."

Trong một bài đăng trên blog, nhóm Optimism lưu ý rằng lịch sử chuỗi của họ cho thấy, ngoài việc một nhân viên tại công ty khởi động dữ liệu ethereum Etherscan vô tình kích hoạt lỗ hổng (dẫn đến không có khai thác bổ sung nào), lỗ hổng này không bị khai thác.

“Bản sửa lỗi cho sự cố này đã được thử nghiệm và triển khai cho các mạng Kovan và Mainnet của Optimism (bao gồm tất cả các nhà cung cấp cơ sở hạ tầng) trong vòng vài giờ sau khi xác nhận,” nhóm cho biết, đồng thời cảm ơn Infura, QuickNode và Alchemy vì những phản hồi nhanh chóng của họ.

"Chúng tôi cũng đang cảnh báo một số nhà cung cấp fork và bridge của Optimism dễ bị tổn thương về sự tồn tại của vấn đề. Các dự án này đều đã áp dụng các bản sửa lỗi cần thiết."

Vào cuối năm ngoái, Optimism đã xóa danh sách trắng (cho phép bất kỳ nhà phát triển nào bắt đầu xây dựng dự án trên mạng Optimism). Trước đó, mạng chỉ khả dụng cho các dự án cụ thể như Uniswap và Synthetix. Hạn chế này giúp các nhà phát triển dễ dàng phát hiện và giải quyết các lỗ hổng tiềm ẩn hơn.

Sự lạc quan là một giải pháp mở rộng lớp 2 cho mạng Ethereum sử dụng "các bản tổng hợp lạc quan" để tổng hợp các giao dịch bên ngoài chuỗi khối Ethereum.

Điều này mang lại lợi ích giảm trượt giá, giảm chi phí giao dịch và tăng tốc độ giao dịch lên rất nhiều. Tuy nhiên, như lỗi này chứng minh, trong khi các giao thức lớp 2 cải thiện hiệu quả, bảo mật trong quá trình phát triển đang diễn ra vẫn là mối quan tâm chung.

Mặc dù tiền thưởng là khoản tiền thưởng lớn nhất được trả cho đến nay, nhưng MakerDAO vừa thông báo rằng họ sẽ cung cấp tới 10 triệu đô la cho bất kỳ ai có thể chỉ ra mối đe dọa bảo mật nghiêm trọng trong các hợp đồng thông minh của mình. Đây là loạt tiền thưởng lỗi lớn nhất cho đến nay được lưu trữ trên nền tảng tiền thưởng lỗi Immunefi.