Уязвимость связана с работой проекта Optimism, ответственного за масштабирование протокола уровня Layer 2 для Ethereum. Он позволяет проводить транзакции из Ethereum дешевле, снижая комиссию по сделкам.
Интересно Капитализация рынка криптовалют упала ниже 2 триллионов долларов: что произошло
Что известно
- Джей Фриман – разработчик джейлбрейк-магазина Cydia. Он сообщил о своей находке руководство Optimism в начале февраля.
- Как рассказывал Фриман, уязвимость давала возможность "выпускать произвольное количество токенов" из-за многократного повторения транзакции.
- Используя ее, он мог выпустить и присвоить себе сколько угодно монет и в итоге стал бы самым богатым человеком планеты.
- Для эксплуатации бага ему понадобился специальный софт, который он разработал сам.
- Однако программист все же решил пойти честным путем и сообщил о проблеме компании.
- Анализ показал, что ошибка не использовалась злоумышленниками, однако лишь однажды случайно была инициирована сотрудником Etherscan. Тогда не было создано ни одного лишнего ETH, который можно использовать.
Проблему устранили в течение нескольких часов после подтверждения, а также передали информацию о ней другим связанным проектам, включая поставщиков инфраструктуры.
Награда
Однако без денег Джей Фриман не остался. Владельцы проекта Optimism рассказали в своем блоге о выплате Фриману максимально возможного вознаграждения в рамках программы Immunefi Bug Bounty – 2 000 042 долларов.