Hacker White Hat ganha US$ 2 milhões por descobrir falha crítica no Optimism

Um hacker White Hat e desenvolvedor de jailbreak de iOS Cydia foi recompensado em US$ 2 milhões por encontrar uma falha crítica no projeto de dimensionamento da camada dois do Ethereum Optimism, que permitia atacantes criarem ethers (ETH) no saldo da conta. A Optimism anunciou que a falha foi descoberta no começo do mês pelo dev que atende pelo nome de Jay Freeman no Twitter e corrigida.

O também desenvolvedor do Protocolo Orchid foi recompensado em US$ 2.000.042 pelo feito, a quantia máxima paga pelo programa oficial de recompensa de bugs Immunefi. “Somos extremamente gratos aos hackers como o saurik por ajudar a manter o Optimism seguro”, escreveu a startup em um post.

We’re incredibly thankful to saurik for spending so much time analyzing our protocol over the year–enough to find such an important fix! We highly recommend you check out his in-depth breakdown. We'll award the full $2,000,042 promised in our bug bounty. https://t.co/536XK2Bfa5 pic.twitter.com/p8PZujKaDg

— Optimism (@Optimism) February 10, 2022

Em um extenso post em seu blog, Freeman explicou que a falha “permitiria que um atacante replicasse dinheiro em qualquer cadeia usando seu fork de go-Ethereum “OVM 2.0”.

Last week, I discovered (and reported) a critical bug (which has been fully patched) in @optimismPBC (a "layer 2 scaling solution" for Ethereum) that would have allowed an attacker to print arbitrary quantity of tokens, for which I won a $2,000,042 bounty. https://t.co/J6KOlU8aSW

— Jay Freeman (saurik) (@saurik) February 10, 2022

Segundo a equipe do Optimism, “o bug tornou possível criar ETH no Optimism ao acionar repetidamente o opcode SELFDESTRUCT em um contrato que mantinha um saldo ETH”. Apesar da falha, a equipe observou que ele não havia sido explorado ao analisar o histórico da cadeia, exceto por uma ativação acidental de um funcionário do Etherscan de inicialização de dados Ethereum, mas “nenhum excesso utilizável foi gerado”.

Imagem: Executium/Unsplash

“Uma correção para o problema foi testada e implantada nas redes Kovan e Mainnet da Optimism (incluindo todos os provedores de infraestrutura) dentro de horas após a confirmação”, disse a equipe, agradecendo ao Infura, QuickNode e Alchemy pela rápida resposta. “Também alertamos vários forks e fornecedores de ponte vulneráveis do Optimism sobre o problema. Todos estes projetos aplicaram a correção necessária”.

No final do ano passado, o Optimism removeu sua lista branca, permitindo que qualquer desenvolvedor começasse a construir projetos na rede Optimism. Antes disso, a rede só era acessível a projetos específicos como Uniswap e Synthetix.

Com informações da Cointelegraph e Coincu News