2022年2月2日,一位白帽黑客向 Optimism报告了一个严重的安全问题——以太坊的“L2扩展解决方案”——将允许攻击者使用他们的 go-ethereum的“OVM2.0”分支在任何链上复制资金。
很快,Optimism(其平台目前使用集中式“排序器”)开始在其节点和基础设施上修复此错误,并安排使用其代码库(Boba和 Metis)的下游项目进行修补。
据消息人士称,Optimism刚刚解决了一个重要的系统漏洞问题。白客Jay Freeman引起了以太坊开发人员的注意,他发现了代码中的缺陷并将网络从重大盗窃风险中拯救了出来。
如果问题没有得到及时解决,链上的恶意用户可能会利用该漏洞,可以访问无限生成的新ETH代币。
在一篇博文中,Jay准确地描述了这个漏洞为何能无限复制世界上价值第二高的加密货币。他解释说,以太坊链上的任何开发人员都可以自动使用它的一个分叉来创建新的代币。具体来说,通过在曾经持有 ETH代币的智能合约上运行 SELF-DESTRUCT操作码命令来触发持续再生。
幸运的是,Optimism在漏洞被利用之前及时修复了漏洞,从而恢复了网络的完整性。在收到有关该问题的消息后,开发团队在几个小时内对 Kovan测试网和 Optimism Mainnet实施了修复。此外,Optimism的其他附属分叉和桥梁也收到了该缺陷的警告。因此,截至目前,Optimism和其他相关的以太坊项目是无漏洞的。
随着漏洞的迅速解决,Optimism迅速奖励了举报人200万美元。有史以来最高的奖金之一。但是,如果考虑到如果恶意方发现了故障,可能会损失多少,奖金是合理的。此外,奖金还鼓励开发人员上报bug,而非利用bug。
除了 Optimism之外,据报道,其他第2层汇总也存在技术缺陷。12月Polygon默默地修补了一处漏洞,该漏洞将92%的 MATIC代币暴露给恶意方。幸运的是,两名道德黑客挺身而出,他们每人获得了175万美元的奖励。几个月前,一名白帽黑客上报了一个漏洞,该漏洞可能使Polygon损失10亿美元。上周,以太坊桥虫洞损失了超过3.25亿美元。
第2层解决方案在为用户带来众多好处(例如降低交易费用)的同时,引入了显著的扩展。然而,最近的事件暗示这可能是以安全为代价的。
