В ходе работы в проекте Optimism, посвященного масштабированию Ethereum, разработчики обнаружили критический баг. Он позволял создавать огромное количество токенов криптовалюты Ethereum.
После обнаружения бага эту возможность сразу же устранили. За такую находку белому хакеру выплатили рекордное вознаграждение.
В теории такая уязвимость позволила бы злоумышленникам создавать безграничное количество Ethereum в аккаунте Optimism. Это обнаружил Джей Фриман, разработчик программного обеспечения Cydia для взлома iOS.
В своем посте Фриман объяснил, что баг давал бы возможность нападающему дублировать деньги, используя форк Optimistic Virtual Machine (OVM) 2.0. За это Фриман получил самую большую в истории «баунти-хантеров» награду – $2 000 042.
Анализ блокчейна показал, что баг не использовался раньше. Лишь однажды его случайно активировал сотрудник стартапа Etherscan, но он не использовал такую возможность. В течение нескольких часов после находки эта проблема была полностью устранена.
Аккаунт Optimism – это решение, которое помогает масштабировать Layer 2 для сети Ethereum. Он позволяет выполнять транзакции во внешней цепочке, за пределами основной сети Ethereum.
Это хорошо сказывается на скорости и стоимости транзакций.
Но обнаружение бага дало понять, что протоколы уровня Layer 2 более уязвимы для внешнего вмешательства.
Хотя награда Фримана является одной из самых больших в истории, система MakerDAO уже предложила вознаграждение до $10 млн за обнаружение критических уязвимостей в их смарт-контрактах.