2 月10 日,著名的Cydia 和iOS 越獄開發者Jay Freeman(也稱為Saurik)發布了一條Twitter 帖子,內容涉及他在稱為Optimism 的第2 層(L2) 擴展協議中發現的一個錯誤。根據Freeman 的說法,該漏洞已被修補,可能允許攻擊者創建無限數量的令牌。
Cydia Creator ‘Saurik’ 發現Optimism L2 漏洞
Jay Freeman 是一位著名的軟件開發人員,以他的iOS 越獄和Cydia 工具而聞名。 Freeman 的Cydia 圖形用戶界面(GUI) 於2008 年2 月發布,它使擁有越獄iPhone 的用戶能夠為Apple 智能手機操作系統iOS 下載未經授權的軟件。弗里曼最近發表了一篇 博文 名為“以無拘無束的樂觀主義攻擊以太坊L2”,這解釋了他如何向L2 擴展解決方案Optimism 的開發人員報告一個關鍵的安全問題。
Optimism 的L2 解決方案允許用戶以一小部分成本移動以太坊。目前,使用Optimism 移動以太幣可能會花費 每次轉賬0.56 美元 而今天的L1 汽油費為每筆交易3.29 美元。要使用L1 在鏈上交換硬幣,用戶將花費16.47 美元的以太幣,但使用Optimism 交換硬幣將花費0.83 美元。 Freeman 於2022 年2 月2 日報告了Optimism 漏洞,該漏洞已被修復。
這次攻擊將允許“攻擊者使用他們的Go-ethereum 的“OVM 2.0”分支(他們稱之為l2geth)在任何鏈上複製資金,”弗里曼說。開發人員進一步解釋說,他計劃於2 月18 日在 伊斯丹佛 2022. 弗里曼也是 獲獎 2,000,042 美元的獎金用於發現漏洞並將其披露給團隊。軟件工程師的博客文章描述了攻擊者如何在漏洞修復之前鑄造任意數量的代幣。
“這裡提出的錯誤——我稱之為’無拘無束的樂觀主義’——可能(粗略地)建模為’橋樑’遠端的錯誤,”弗里曼寫道。 “但實際上是在Optimism 上執行智能合約的虛擬機中的一個錯誤。 利用這一點,攻擊者可以訪問橋遠端的有效無限數量的令牌(也稱為IOU)。 我的論點是,這比僅僅誘使儲備金允許撤軍更危險。” 開發商繼續說:
此外,憑藉您無限量的IOU 供應,您可以前往L2 上運行的每個去中心化交易所並擾亂他們的經濟,購買大量其他代幣,同時使鏈上自己的貨幣貶值。使用您獲得無限資金的權限,您可以進一步操縱鏈上定價預言機以利用其他攻擊; 而且,在有人最終意識到你的錢是假幣之前,套利者會湧向網絡向你出售他們的資產。
圍繞跨鏈應用的悲觀情緒
除了Optimism 中發現的漏洞,Freeman 還非常詳細地討論了跨鏈橋技術。開發人員提到,在他向Optimism 披露漏洞的同一天,蟲洞橋遭到了攻擊。 Freeman 在他的帖子中還提到了Poly Network 的黑客攻擊。 “即使黑客確實從橋上偷錢,其後果也是有限的,”弗里曼的博客文章解釋道。
Freeman 發現Optimism 漏洞是在針對跨鏈橋的大量黑客攻擊以及社區對這種新興技術的安全性新發現的擔憂之後發現的。 Cydia 開發人員的博客文章提到了“針對加密黑客的“保險單”。 ” 此外,以太坊(以太坊) 聯合創始人Vitalik Buterin 最近討論了與跨鏈橋平台安全相關的問題。 “我對跨鏈應用程序感到悲觀,”Buterin 最近在Reddit 上發表的一篇文章宣稱。
您如何看待Jay Freeman 的Optimism bug 發現?在下面的評論部分讓我們知道您對此主題的看法。
圖片來源:Shutterstock,Pixabay,Wiki Commons
免責聲明: 本文僅供參考。它不是直接的要約或要約邀請,也不是對任何產品、服務或公司的推薦或認可。 比特幣網 不提供投資、稅務、法律或會計建議。對於因使用或依賴本文提及的任何內容、商品或服務而造成或據稱造成或與之相關的任何損害或損失,本公司和作者均不直接或間接負責。