Critical bug in Ethereum L2 Optimism, $2M bounty paid

Bug dans le développement de Ethereum, une prime de 2 millions de dollars versée

ParCryptoFinder 12 février 202222 février 2022

La solution Ethereum Layer-2 Optimism a corrigé un bug logiciel critique dans l’un de ses smart contracts sur Ethereum. Le 2 février dernier, l’équipe d’Optimism a été alertée par Jay Freeman d’un bogue critique dans le fork de l’Optimisme du Ethereum Logiciel client Geth. Selon l’Optimisme annonce « Les fonds sont en sécurité ».

Le bug permettait à un pirate malveillant de créer de l’ETH sur Optimisme en « déclenchant de manière répétée l’opcode « SELF-DESTRUCT » sur un contrat qui détenait un solde en ETH ». Les opcodes sont différents types d’instructions qui peuvent s’exécuter sur la machine virtuelle Ethereum (EVM) environnement d’exécution.

Bug déclenché par un employé d’Etherscan

L’analyse de l’historique de la blockchain d’Optimism effectuée par l’équipe d’Optimism a montré que le bug n’a pas été exploité. Le bug semble avoir été accidentellement déclenché à une occasion par un employé de l’explorateur de blocs populaire Etherscan. Selon le rapport, » aucun excès utilisable « . ETH a été généré. »

Selon l’annonce, quelques heures après la confirmation, l’équipe Optimism a développé et déployé un correctif sur les réseaux Kovan et Mainnet, réparant le bug, et a envoyé des alertes aux équipes développant des forks Optimism vulnérables et aux fournisseurs de ponts L1-L2. En plus de l’annonce, l’équipe d’Optimism a également publié un rapport détaillé sur l’état d’avancement du projet. ventilation de l’incident.

Dans le cadre du bug bounty Immunefi d’Optimism. programmele montant maximal d’un peu plus de 2 millions de dollars a été versé à Jay Freeman. Le fait que le montant maximal ait été versé indique la gravité du bogue. L’annonce ne fait cependant pas de spéculation sur les dommages possibles si le bogue avait été exploité par un pirate malveillant.

L’écosystème grandissant de DeFi rend la sécurité complexe

Selon le billet de blog d’Optimism, la défense de l’écosystème DeFi contre les problèmes de sécurité devient de plus en plus complexe, dans une large mesure comme une conséquence directe de la décentralisation elle-même.

Le message est le suivant :

« Il est clair que l’écosystème sera bientôt beaucoup trop grand pour que cela reste pratique. Nous allons mettre à jour notre protocole de divulgation pour qu’il corresponde mieux à celui de Geth dans un avenir proche. »

L’article souligne également l’importance des programmes de primes aux bugs.

L’équipe d’Optimism est actuellement en train de spécifier et de construire la prochaine version majeure, Optimism : Bedrock Edition. Selon Optimism, Bedrock Edition réduira de manière significative la différence dans la base de code entre le fork Geth d’Optimism et le client « officiel » de go-ethereum. Le fait de ne pas avoir à modifier autant le code original réduit les risques d’introduire des bogues.