以太坊第 2 层扩展项目 Optimism 的开发人员宣布,已发现一个“严重错误”并随后在本月早些时候进行了修补。
该漏洞本可以让黑客在 Optimism 账户余额中创建尽可能多的“ETH”,最初是由白帽黑客和 iOS 越狱软件 Cydia 开发人员 Jay Freeman 发现的。
在一篇深入的博客文章中,Freeman解释说,该漏洞“将允许攻击者使用他们的go-ethereum的‘OVM 2.0’分叉在任何链上复制资金”。由于他的努力,Freeman获得了迄今为止最大的漏洞赏金之一,总奖励金额为 2,000,042美元。
根据 Optimism 团队的说法,“该漏洞使得可以通过在持有 ETH 余额的合约上反复触发 SELFDESTRUCT 操作码来在 Optimism 上创建 ETH。”
在一篇博客文章中,Optimism 团队指出,其链历史显示,除了以太坊数据初创公司 Etherscan 的一名工作人员意外激活该漏洞外(没有产生可用的额外漏洞),该漏洞并未被利用。
该团队表示:“在确认后数小时内,对该问题的修复进行了测试并部署到 Optimism 的 Kovan 和 Mainnet 网络(包括所有基础设施提供商),”感谢 Infura、QuickNode 和 Alchemy 的快速响应。
“我们还提醒多个易受攻击的 Optimism 分叉和桥接提供商注意该问题的存在。这些项目都应用了所需的修复。”
去年年底,Optimism 删除了其白名单(允许任何开发人员开始在 Optimism 网络上构建项目)。在此之前,该网络仅适用于 Uniswap 和 Synthetix 等特定项目。此限制使开发人员更容易检测和解决潜在的漏洞。
Optimism 是以太坊网络的第 2 层扩展解决方案,采用“optimistic rollups” 聚合以太坊区块链之外的交易。
这提供了减少滑点、降低交易成本和大大提高交易速度的好处。然而,正如这个错误所表明的那样,虽然第 2 层协议提高了效率,但持续开发过程中的安全性仍然是一个共同的关注点。
虽然这笔奖金是迄今为止支付的最大一笔奖金,但 MakerDAO 刚刚宣布,它将向任何能够在其智能合约中指出严重安全威胁的人提供最高 1000 万美元的奖金。这是迄今为止在漏洞赏金平台 Immunefi 上托管的最大的漏洞赏金系列。
微信咨询
