توسعه دهندگان پروژه لایه دوم مقیاس پذیری اتریوم به نام Optimism اعلام کردند که اوایل این ماه میلادی یک «باگ حیاتی» را شناسایی و رفع کرده اند.
این باگ که هکرها را قادر می ساخت در حساب Optimism به هر اندازه که بخواهند اتریوم تولید کنند، اولین بار توسط یک هکر کلاه سفید و برنامه نویس جیل بریک (Jailbreak) نرم افزار Cydia جی فریمن (Jay Freeman) شناسایی شد.
Last week, I discovered (and reported) a critical bug (which has been fully patched) in @optimismPBC (a "layer 2 scaling solution" for Ethereum) that would have allowed an attacker to print arbitrary quantity of tokens, for which I won a $2,000,042 bounty. https://t.co/J6KOlU8aSW
— Jay Freeman (saurik) (@saurik) February 10, 2022
فریمن در یک پست وبلاگ خود توضیح داد که این باگ «به مهاجم اجازه خواهد داد که با استفاده از فورک “OVM 2.0” در هر بلاکچینی پول کپی کند.» فریمن به خاطر تلاش های خود بزرگترین مژدگانی پرداختی تاکنون را که دقیقاً 2,000,042 دلار بود را دریافت کرد.
بنابر اعلام تیم توسعه دهنده Optimism «این باگ امکان خلق اتر را در پلتفرم Optimism و به وسیله تکرار کد SELFDESTRUCT در یک قرارداد هوشمندی که حاوی مقداری اتر بود، فراهم می کرد.»
در این وبلاگ تیم Optimism خاطر نشان کرد که با توجه به سوابق زنجیره این باگ مورد سو استفاده قرار نگرفته است و فقط یک بار توسط یکی از کاربران Etherscan به طور تصادفی بکار گرفته شده ولی «مقدار قابل استفاده ای خلق نشده است.»
این تیم سازنده با تشکر از Infura، QuickNode و Alchemy به خاطر پاسخگوی سریع افزود:
«رفع این باگ در ساعات اولیه تایید در شبکه های Kovan و Mainnet پلتفرم Optimism تست و بکار گرفته شد. ما همچنین چند فورک آسیب پذیر Optimism را از این مشکل باخبر کردیم و ارائه دهندگان را از وجود این آسیب پذیری آگاه ساختیم. در حال حاضر همه این پروژه ها بروزرسانی شده اند.»
اواخر سال گذشته Optimism لیست سفید خود را حذف کرد و از این رو به همه توسعه دهندگان اجازه داد که پروژه های خود را در شبکه Optimism بسازند. قبل از این اقدام، این شبکه فقط برای پروژه های بخصوصی مثل Uniswap و Synthetix در دسترس بود. این محدودیت فرآیند تشخیص و حل باگ های احتمالی را ساده تر می کرد.
Optimism یک راه حل مقیاس پذیری لایه دوم برای شبکه اتریوم است که از “Optimistic Rollup” که در واقع تراکنش های بیرون از بلاکچین اتریوم را جمع آوری می کند، استفاده می کند.
این کار مزایای زیادی مثل کاهش اسلپیج، کاهش هزینه تراکنش ها و افزایش قابل توجه سرعت انجام تراکنش ها دارد. البته همانطور که در این باگ هم مشخص شد، با اینکه پروتکل های لایه دوم بهبودهای زیادی در شبکه اتریوم ایجاد می کنند ولی مسائل امنیتی یکی از اصلی ترین نگرانی های موجود در آن هاست.
با اینکه این مژدگانی یکی از بیشترین پرداختی های انجام گرفته برای یک هکر کلاه سفید است ولی MakerDAO هم به تازگی اعلام کرده که حاضر است به هر کسی که یک مشکل امنیتی مهم را در قرارداد هوشمندش پیدا کند، تا 10 میلیون دلار پاداش خواهد داد. این بزرگترین سری مژدگانی تعیین شده در پلتفرم رفع باگ Immunefi است.
منبع : Cointelegraph
پاسخها