一名黑客在發現以太坊網絡的一個令人震驚的漏洞後,獲得了200 萬美元的漏洞賞金。如果黑帽黑客能夠利用數字資產獲取價值數十億美元的ETH,那麼這個漏洞可能會非常糟糕。相反,一個俗稱Saurik 的“灰帽”黑客將這個漏洞通知了以太坊團隊,並為自己獲得了可觀的回報。
尋找以太坊的漏洞
黑客Saurik 在Optimism(以太坊第2 層匯總解決方案)上發現了該漏洞。黑客本人 發表 關於他如何發現解決方案漏洞的報告。通過查看匯總中的納米支付協議,他發現了一個漏洞,該漏洞可能允許攻擊者從解決方案中肆無忌憚地提取“幾乎無限”數量的ETH。
相關閱讀 | TA:以太坊克服障礙,為什麼100 SMA 是關鍵
它類似於部署在流行的智能合約區塊鏈Solana 上的攻擊方法,導致Wormhole 遭受3.53 億美元的黑客攻擊。樂觀主義,就像蟲洞一樣,造就了所謂的“包裹以太”。 用戶將他們的以太幣存入智能合約基本上作為抵押品,它們甚至是僅存在於Optimism 網絡上的這些代幣。然後,他們使用納米支付協議使交易變得越來越快。
ETH recovers above $3,100 | Source: ETHUSD on TradingView.com
Saurik 以開發 越獄的iOS 已確認該漏洞。然而,這位自稱灰帽黑客的人並沒有利用該漏洞謀取私利,而是將其報告給了Optimism 開發人員。作為回報,Saurik 因其利他主義獲得了200 萬美元的獎金,這有助於使網絡和layer 2 rollup 對用戶來說更安全。
揭穿流行謠言
在漏洞和隨後的賞金支付的消息傳出後,有傳言說如果攻擊者選擇不向開發人員報告,他們可以用它做什麼。其中最受歡迎的是攻擊者能夠從網絡中提取無限量的ETH。雖然這有一些優點,但它在很大程度上是錯誤的。
首先,該漏洞存在於第2 層匯總解決方案Optimism 上。雖然該協議存在於以太坊網絡上,但它不是網絡本身。這意味著該漏洞僅局限於協議。因此,雖然攻擊者可以利用這一點提取“無限”數量的ETH,但他們只能提取Optimism 地址上的可用餘額。
相關閱讀 | 以太坊今年會達到7000 美元嗎? Finder的面闆說是
儘管如此,如果黑帽黑客發現了該漏洞,其結果將對第2 層協議的用戶造成毀滅性的後果仍然不是什麼秘密。此事件充分說明了錯誤賞金的有用性。雖然一開始這些賞金的回報可能看起來太大了,但人們必須考慮如果沒有激勵黑客提出他們的發現的替代方案會是什麼。白帽黑客無疑幫助每年節省數百萬甚至數十億美元。
Featured image from Gagadget, chart from TradingView.com