Уязвимость позволяла выпускать бесконечное число токенов Ethereum За нее выплатили крупную награду

Команда криптовалютного проекта Optimism, который занимается масштабированием блокчейна Ethereum, заявила об исправлении критической уязвимости, найденной разработчиком магазина неофициальных приложений для iOS Cydia Джеем Фриманом. Проект Optimism предлагал проводить транзакции быстрее и дешевле по сравнению с текущей схемой, использующей комиссии в виде «газа». Однако в механизме оказалась уязвимость, позволяющая «воспроизводить деньги в любой цепочке при помощи своего форка go-ethereum OVM 2.0».

По словам Фримана, нашедшего уязвимость, она позволила бы выпускать произвольное количество токенов. В Optimism заявили, что «ошибка позволяла создавать ETH через многократную активацию кода операции SELFDESTRUCT для контракта, который содержал баланс ETH». Также разработчики заявили, что уязвимостью еще никто не воспользовался — кроме сотрудника стартапа Ethereum Etherscan, но тот сделал это случайно и не вызвал генерацию избыточного количества токенов.

Исправление проблемы было протестировано и развернуто в сетях Kovan и Mainnet Optimism в течение нескольких часов после подтверждения, кроме того, несколько уязвимых форков Optimism и промежуточный провайдер были предупреждены о наличии проблемы. Разработчики проекта выплатили Фриману максимально возможную награду в рамках программы Immunefi bug bounty — 2 000 042 доллара.

Эфир тем временем остается второй по популярности криптовалютой после биткойна: