2022年2月2日,一位白帽黑客向 Optimism報告了一個嚴重的安全問題——以太坊的「L2擴展解決方案」——將允許攻擊者使用他們的 go-ethereum的「OVM2.0」分支在任何鏈上複製資金。
很快,Optimism(其平台目前使用集中式「排序器」)開始在其節點和基礎設施上修復此錯誤,並安排使用其代碼庫(Boba和 Metis)的下游項目進行修補。
據消息人士稱,Optimism剛剛解決了一個重要的系統漏洞問題。白客Jay Freeman引起了以太坊開發人員的注意,他發現了代碼中的缺陷並將網絡從重大盜竊風險中拯救了出來。
如果問題沒有得到及時解決,鏈上的惡意用戶可能會利用該漏洞,可以訪問無限生成的新ETH代幣。
在一篇博文中,Jay準確地描述了這個漏洞為何能無限複製世界上價值第二高的加密貨幣。他解釋說,以太坊鏈上的任何開發人員都可以自動使用它的一個分叉來創建新的代幣。具體來說,通過在曾經持有 ETH代幣的智能合約上運行 SELF-DESTRUCT操作碼命令來觸發持續再生。
幸運的是,Optimism在漏洞被利用之前及時修復了漏洞,從而恢復了網絡的完整性。在收到有關該問題的消息後,開發團隊在幾個小時內對 Kovan測試網和 Optimism Mainnet實施了修復。此外,Optimism的其他附屬分叉和橋樑也收到了該缺陷的警告。因此,截至目前,Optimism和其他相關的以太坊項目是無漏洞的。
隨著漏洞的迅速解決,Optimism迅速獎勵了舉報人200萬美元。有史以來最高的獎金之一。但是,如果考慮到如果惡意方發現了故障,可能會損失多少,獎金是合理的。此外,獎金還鼓勵開發人員上報bug,而非利用bug。
除了 Optimism之外,據報導,其他第2層匯總也存在技術缺陷。12月Polygon默默地修補了一處漏洞,該漏洞將92%的 MATIC代幣暴露給惡意方。幸運的是,兩名道德黑客挺身而出,他們每人獲得了175萬美元的獎勵。幾個月前,一名白帽黑客上報了一個漏洞,該漏洞可能使Polygon損失10億美元。上周,以太坊橋蟲洞損失了超過3.25億美元。
第2層解決方案在為用戶帶來眾多好處(例如降低交易費用)的同時,引入了顯著的擴展。然而,最近的事件暗示這可能是以安全為代價的。
