Bakit Mahalaga ang White Hat Hackers sa Crypto Ecosystem

Nitong nakaraang weekend sa ETHDenver, Jay Freeman kinuha ang entablado upang i-highlight ang kanyang halos bilyong dolyar Discovery ng bug sa loob ng CORE code ng Optimism, BOBA at METIS, na tinawag niyang "Unbridled Optimism."

Ang Freeman ay may kasaysayan ng pagbuo ng software at pag-hack, kapansin-pansing gumaganap ng isang kritikal na papel sa pagbuo ng software para sa jailbreaking iOS. Ang kanyang karanasan ay napatunayang hindi mabibili sa loob ng Wild West, open-source na industriya ng Crypto . Dalawang linggo lang ang nakalipas, umalis ang isang smart contract vulnerability Wormhole bridge na may $350 milyon na butas para ayusin – at T iyon ang pinakamalaking pagsasamantala sa kamakailang kasaysayan. Gayunpaman, binanggit ni Freeman na ang mga pagsasamantala sa tulay ay madalas na natagpuan nang mabilis dahil madalas itong ginagamit at patuloy na binabantayan ng mga koponan na responsable sa pagpapanatili ng mga ito.

Read More: Jump Trading Backstops Wormhole's $320 Million Exploit Loss

Sa unang linggo ng Pebrero, natuklasan ni Freeman ang isang kritikal na bug sa loob ng virtual machine ng Optimism – ONE na maaaring hindi pa handang i-patch ng mga developer nang mabilis. Ang bug ay nag-ugat sa Optimism's pagsira sa sarili function na nagpapahintulot sa mga kontrata na sirain at magpadala ng anumang natitirang balanse ng eter sa isang itinalagang address.

Mukhang mapanganib, kaya bakit naglalaman ang mga blockchain ng pagsira sa sarili function? Ang function ay nagbibigay-daan para sa mga hindi na ginagamit o mapanganib na mga kontrata na maalis mula sa chain habang ibinabalik ang balanse ng eter sa nararapat na may-ari.

Maliban kung mayroong isang bug, siyempre.

Optimismo pagsira sa sarili function na ibinalik ang balanse ng eter sa itinalagang address nang hindi sinusunog ang balanse sa loob ng isang kontrata. Ayon kay Freeman, "Ito ay nangangahulugan na, kapag ang isang kontrata ay sinira ang balanse nito ay PAREHONG ibinibigay sa benepisyaryo AT DININGAT DIN." Kung matagumpay na natawagan ng mga umaatake ang kontrata, maaari silang gumawa ng loop na magdodoble sa kanilang balanse sa OETH hanggang sa mapansin at ma-patch ng mga developer ng Optimism .

Nabanggit ni Freeman na hindi siya ang unang taong nakahanap ng bug pagkatapos ng pag-scan sa nakaraan pagsira sa sarili tumatawag sa Optimism at sinusubaybayan ang ONE wallet pabalik sa isang empleyado ng Etherscan. Nahanap at nasubok ng empleyado ang bug, ngunit tila T naunawaan ang kalubhaan ng sitwasyon at hinayaan ito. Ang kahinaan ay lumala sa paglipas ng panahon dahil mas maraming pondo ang na-bridge sa Optimism at kinopya ng iba pang layer 2 system ang code na inilagay ng Optimism . Ang Layer 2s ay mga kasamang network na konektado ngunit gumaganang hiwalay sa base layer.

Dahil dito, sinabi ni Freeman, kung hindi niya natagpuan ang bug, ang isang kahinaan sa paggawa ay magbibigay-daan sa isang umaatake na doblehin ang kanilang mga pondo sa tuwing pagsira sa sarili function ay tinawag sa BOBA at METIS pati na rin.

Mga White Hat at DeFi

Kahit na napansin at pansamantalang na-pause ng Optimism team ang mga bridge transaction sa pamamagitan ng sequencer <a href="https://community.optimism.io/docs/protocol/sequencing/">https://community. Optimism.io/docs/protocol/sequencing/</a> sa panahon ng teoretikal na pag-atake, ang isang attacker ay maaari pa ring magdulot ng kalituhan sa layer 2 decentralized Finance (DeFi). Gamit ang maling minted na OETH, magagawa ng sinumang umaatake na maubos ang mga desentralisadong palitan at pagsasamantalahan ang mga platform ng pagpapautang na may walang kwentang collateral. Ang pagsasamantala ay malamang na magdulot ng hindi na mapananauli na pinsala sa loob ng Ethereum ecosystem at ang mga gumagamit ng layer 2 ay maaaring maging walang silbi ang lahat ng kanilang mga pondo, nang walang mga asset na natitira sa kabilang dulo ng tulay. Ang Combined, Optimism, BOBA at METIS ay may humigit-kumulang $750 milyon na naka-lock sa DeFi noong araw na iniulat ang kahinaan, halos lahat ay nasa panganib.

Ang pangangailangan para sa friendly adversarialism

Ang desentralisadong Finance ay patuloy na isang mahinang industriya na may mga hindi kilalang tagapagtatag, open-source code at bilyun-bilyong dolyar na naghahanap ng panganib. Ang napakalaking halaga ng kapital na ito ay lumikha ng isang sistema ng insentibo na nakahanay sa mga koponan na mabilis na bumuo at naglalabas ng mga token.

Read More: Problema sa Anonymity ng Wonderland (at DeFi's).

Sa kabaligtaran, ang pag-iingat at propesyonalismo ay hindi gaanong kapana-panabik sa mga mangangalakal at mamumuhunan. Ang ekonomiya ng mundo ay paulit-ulit na nakita ang epekto ng walang humpay na pagkuha ng panganib, kahit na ang merkado sa kalaunan ay nagpaparusa sa mga shortcut. Walang dahilan upang isipin na ang parehong resulta ay T magpapatuloy sa paglalaro sa Crypto at desentralisadong Finance, kung saan ang mga pinaka-maselan na protocol lang ang lalabas nang buhay sa huli.

Pinag-isipan din ni Freeman kung saan nahuhulog ang gitnang lupa sa pagitan ng "Code is Law" at third-party trust. Itinaas niya ang punto na ang mga bug bounty ay mahalaga sa pag-udyok sa mahuhusay na aktor na maghanap at makahanap ng mga kahinaan. Sa pamamagitan ng pagtatakda ng gantimpala para sa pagiging isang mahusay na aktor sa kaparehong sukat ng kabayaran para sa pagiging isang masamang aktor, ang sukat na iyon ay biglang ikiling ang mga insentibo patungo sa white hatting.

Gaya ng sinabi ni Freedman, ang ganitong uri ng "friendly adversarialism" ay maaaring hikayatin ang mga kalahok sa ecosystem na maging mas bukas, tapat at kahit na pesimistiko tungkol sa mga bagong ideya.

Ang pessimism na iyon ay susi. Ngayon, ang kapaligiran ay marahil ay labis na maasahin sa mabuti, na nagpapasaya sa mga mamumuhunan at mga gumagamit ng DeFi tungkol sa mga protocol na hindi kailanman gagana o maaaring maging mapanganib. Ang kakulangan ng pangangasiwa na ito, kasama ang likas na katangian ng open-source code, ay lumilikha ng perpektong kapaligiran para sa mga hacker at scammer, isang isyu sa karamihan ng industriya ng Crypto ay tila hindi handang aminin.