Un desarrollador de jailbreak para iOS gana una recompensa de USD 2 millones por encontrar un fallo crítico de Optimism
Los desarrolladores del proyecto de escalado de Ethereum Layer 2, Optimism, anunciaron que a principios de este mes se había identificado un “error crítico” que posteriormente se parcheó.
El fallo, que podría haber permitido a los hackers crear tanto ‘ETH’ en el saldo de una cuenta de Optimism como quisieran, fue descubierto por primera vez por el white-hat hacker y desarrollador del software de jailbreak para iOS Cydia, Jay Freeman.
Last week, I discovered (and reported) a critical bug (which has been fully patched) in @optimismPBC (a “layer 2 scaling solution” for Ethereum) that would have allowed an attacker to print arbitrary quantity of tokens, for which I won a $2,000,042 bounty. https://t.co/J6KOlU8aSW
— Jay Freeman (saurik) (@saurik) February 10, 2022
La semana pasada, descubrí (e informé) de un error crítico (que ha sido totalmente parcheado) en @optimismPBC (una “solución de escalado de capa 2” para Ethereum) que le habría permitido a un atacante imprimir una cantidad arbitraria de tokens, por lo que gané una recompensa de USD 2,000,042.
En un post del blog, Freeman explicó que el fallo “le permitiría a un atacante replicar dinero en cualquier cadena que utilice su bifurcación ‘OVM 2.0’ de go-ethereum”. Por sus esfuerzos, Freeman recibió una de las mayores recompensas por errores hasta la fecha, con un importe total de USD 2,000,042.
Según el equipo de Optimism, “el fallo le permitía crear ETH en Optimism activando repetidamente el opcode SELFDESTRUCT en un contrato que tuviera saldo de ETH”.
En un post de blog, el equipo de Optimism señaló que su historial de la cadena mostraba que el fallo no había sido explotado, excepto por una activación accidental por parte de un empleado de la startup de datos de Ethereum Etherscan, pero “no se generó ningún exceso utilizable.”
“Se probó una solución para el problema y se desplegó en las redes Kovan y Mainnet de Optimism (incluidos todos los proveedores de infraestructura) a las pocas horas de la confirmación”, dijo el equipo, agradeciendo a Infura, QuickNode y Alchemy por sus rápidos tiempos de respuesta.
“También hemos alertado de la presencia del problema a varios proveedores de puentes y bifurcaciones de Optimism vulnerables. Todos estos proyectos han aplicado la corrección requerida.”
A finales del año pasado, Optimism eliminó su lista blanca, permitiendo a cualquier desarrollador comenzar a construir proyectos en la red Optimism. Antes de esto, la red solo era accesible para proyectos específicos como Uniswap y Synthetix. Esta limitación facilitaba a los desarrolladores la detección y resolución de posibles fallos.
Optimism es una solución de escalado de capa 2 para la red Ethereum, que emplea “rollups optimistas” que agregan transacciones fuera de la blockchain Ethereum.
Esto ofrece las ventajas de reducir el deslizamiento o slippage, disminuir los costes de las transacciones y mejorar enormemente la velocidad de las mismas. Sin embargo, como ha dejado claro este fallo, aunque los protocolos de capa 2 ofrecen mejoras en la eficiencia, la seguridad durante el desarrollo en curso sigue siendo un punto de preocupación común.
Si bien esta recompensa es una de las más grandes que se han pagado hasta ahora, MakerDAO acaba de anunciar que ofrecerá una recompensa máxima de USD 10 millones a cualquiera que pueda señalar amenazas de seguridad críticas en sus contratos inteligentes. Se trata de la mayor serie de recompensas por errores que se ha alojado en la plataforma de recompensas por errores Immunefi.
Sigue leyendo: