Os desenvolvedores do projeto Optimism, dedicado ao dimensionamento do Ethereum, anunciaram a descoberta de um bug crítico que permitiu a criação de um número arbitrário de tokens dessa criptomoeda. No momento, essa possibilidade foi eliminada e uma recompensa recorde foi paga pela descoberta do bug.
A vulnerabilidade, em teoria, permitia que os invasores criassem tanto Ethereum em uma conta do Optimism quanto eles gostariam – isso foi descoberto pelo hacker de chapéu branco Jay Freeman, que é mais conhecido como o desenvolvedor do software de hackers Cydia iOS.
Em um post, Freeman explicou que o bug permitia que um invasor duplicasse dinheiro usando o fork Optimistic Virtual Machine (OVM) 2.0 da ferramenta Go Ethereum. Por sua descoberta, Freeman recebeu a maior recompensa da história dos “caçadores de recompensas” – $ 2.000.042. De acordo com a equipe do Optimism, o bug permitiu criar Ethereum em sua plataforma executando repetidamente o código de execução SELFDESTRUCT para reabastecer o saldo.
O blog Optimism menciona que a análise do blockchain mostrou que o bug não havia sido explorado antes, com exceção de uma ativação acidental por um funcionário da startup Etherscan, mas ele não aproveitou as oportunidades que se apresentaram. O problema foi corrigido pelo Optimism poucas horas após a confirmação da existência.
No final do ano passado, o Optimism abandonou a “lista branca”, permitindo que qualquer desenvolvedor construísse projetos em sua rede. Antes disso, estava disponível apenas para projetos especiais como Uniswap e Synthetix. Essa limitação tornou mais fácil reconhecer e eliminar possíveis bugs.
Optimism é uma solução de escalonamento de Camada 2 para a rede Ethereum, executando transações na cadeia externa, fora da rede Ethereum principal. Isso, em particular, tem um efeito muito benéfico na velocidade e no custo das transações. Ao mesmo tempo, a descoberta de um bug mostrou que os protocolos da camada 2 são mais vulneráveis a interferências externas.
Embora a recompensa de Freeman seja uma das maiores da história, a MakerDAO já anunciou que oferecerá uma recompensa de até US$ 10 milhões por descobrir vulnerabilidades críticas em seus contratos inteligentes.