Разработчики Ethereum-решения масштабирования второго уровня Optimism сообщили о выявлении и устранении «критического бага», который позволял злоумышленникам создавать в учетной записи Optimism бесконечное количество эфиров.
О баге сообщил разработчик iOS-джейлбрейка Cydia Джей Фримэн. В качестве награды он получил от Optimism $2 млн.
Как сообщается, злоумышленники могли эксплуатировать уязвимость, чтобы создавать эфиры в любой цепочке с помощью форка OVM 2.0 протокола go-Ethereum путем повторяющегося запуска опкода SELFDESTRUCT в контракте, содержащем баланс эфиров.
Однако история цепочек показывает, что уязвимость не эксплуатировалась на практике, за исключением случайной активации сотрудником стартапа Etherscan.
Исправление уже протестировали и развернули в сетях Optimism Kovan и Mainnet, включая всех поставщиков инфраструктуры.
Optimism — это решение масштабирования второго уровня для сети Ethereum, использующее «оптимистичные свертки», которые объединяют транзакции за пределами блокчейна Ethereum. За счет этого уменьшаются издержки и значительно повышается скорость транзакций.
Комментаторы отмечают, что Ethereum — это тщательно проверенный и протестированный протокол, который работает с децентрализованной сетью разнообразных клиентов, а баг мог скрываться в работе экземпляра AWS, выполняющего ошибочный код.
В начале февраля протокол Wormhole сообщил о взломе. Сумма ущерба составила 120 тысяч ETH ($320 млн).
