Разработчики выплатили хакеру два миллиона долларов — это максимально возможное вознаграждение.
Команда криптовалютного проекта Optimism по масштабированию блокчейна Ethereum заявила об исправлении «критической ошибки безопасности», о которой им 2 февраля сообщил хакер Джей Фриман — разработчик магазина неофициальных приложений для iOS Cydia. Об этом участники проекта рассказали в своём блоге.
Решение, которое предлагает Optimism, позволяет проводить транзакции быстрее и дешевле по сравнению с текущей схемой, использующей комиссии в виде «газа». Но в проекте оказалась уязвимость, позволяющая «воспроизвести деньги в любой цепочке с помощью своего форка go-ethereum „OVM 2.0”». По словам Фримана, нашедшего уязвимость, она позволила бы «выпустить произвольное количество токенов».
В Optimism заявили, что «ошибка позволяла создавать ETH через многократную активацию кода операции SELFDESTRUCT для контракта, который содержал баланс ETH». Также разработчики заявили, что уязвимостью никто не воспользовался, кроме сотрудника стартапа Ethereum Etherscan, который сделал это случайно. Это не привело к генерации избыточного количества токенов, сообщили в проекте.
Исправление проблемы было протестировано и развернуто в сетях Kovan и Mainnet Optimism (включая всех поставщиков инфраструктуры) в течение нескольких часов после подтверждения. Мы также предупредили несколько уязвимых вилок Optimism и промежуточного провайдера о наличии проблемы.
