Почему «белые хакеры» жизненно важны для Криптo

В прошедшие выходные в ETHDenver,Джей Фрименвышел на сцену, чтобы подчеркнуть свою почтиИстории ошибки стоимостью в миллиард долларов в рамках CORE кода Optimism, BOBA и METIS, который он назвал «Необузданным Optimism».

У Фримена есть опыт разработки программного обеспечения и взлома, в частности, он сыграл решающую роль в разработке программного обеспечения для взлома iOS. Его опыт оказался бесценным в Криптo с открытым исходным кодом на Диком Западе. Всего две недели назад уязвимость смарт-контракта оставила Мост через червоточину с дырой в 350 миллионов долларов, которую нужно было заделать – и это даже T крупнейший подвиг в новейшей историиОднако Фримен отметил, что уязвимости мостов часто обнаруживаются быстро, поскольку они часто используются и за ними постоянно следят команды, отвечающие за их поддержание.

Читать дальше: Jump Trading компенсирует убытки Wormhole в размере 320 миллионов долларов от эксплойта

В течение первой недели февраля Фримен обнаружил критическую ошибку в виртуальной машине Optimism, ONE разработчики, возможно, не были готовы исправить так быстро. Ошибка коренилась в Optimism самоуничтожениефункция, которая позволяет уничтожать контракты и отправлять оставшийся баланс эфира на указанный адрес.

Это звучит опасно, так почему же блокчейны содержатсамоуничтожениеФункция? Функция позволяет удалять устаревшие или опасные контракты из цепочки, возвращая остаток эфира законному владельцу.

Если, конечно, это не ошибка.

ОптимизмсамоуничтожениеФункция возвращала баланс эфира на указанный адрес, не сжигая баланс в контракте. По словам Фримена, «это означает, что когда контракт самоликвидируется, его баланс ОБА передаются бенефициару, А ТАКЖЕ СОХРАНЯЮТСЯ». Если бы злоумышленники смогли успешно вызвать контракт, они могли бы создать цикл, который удваивает их баланс OETH, пока его не заметят и не исправят разработчики Optimism .

Фримен отметил, что он не первый, кто обнаружил ошибку после сканирования предыдущихсамоуничтожение звонки на Optimism и отслеживание ONE кошелька обратно к сотруднику Etherscan. Сотрудник нашел и протестировал ошибку, но, по-видимому, T понял серьезности ситуации и оставил ее в покое. Уязвимость усугубилась со временем, поскольку все больше средств было переведено на Optimism , а другие системы уровня 2 скопировали код, который установил Optimism . Уровни 2 — это сопутствующие сети, соединенные, но функционально отдельные от базового уровня.

Следовательно, отметил Фримен, если бы он не нашел ошибку, уязвимость чеканки позволила бы злоумышленнику удваивать свои средства каждый раз, когдасамоуничтожениеФункция также была вызвана на BOBA и METIS .

Белые шляпы и DeFi

Даже если бы команда Optimism заметила и временно приостановила транзакции моста через секвенсор <a href="https://community.optimism.io/docs/protocol/sequencing/">Optimism</a> во время теоретической атаки, злоумышленник все равно мог бы посеять хаос в децентрализованных Финансы уровня 2 (DeFi). Используя ложно отчеканенный OETH, любой злоумышленник мог бы опустошить децентрализованные биржи и эксплуатировать кредитные платформы с бесполезным обеспечением. Эксплойт, вероятно, нанес бы непоправимый ущерб в экосистеме Ethereum , и пользователи уровня 2 могли бы потерять все свои средства, сделав их бесполезными, без каких-либо активов на другом конце моста. В совокупности Optimism, BOBA и METIS имели около 750 миллионов долларов, заблокированных в DeFi в день, когда была сообщена об уязвимости, почти все из которых были под угрозой.

Необходимость дружественного соперничества

Децентрализованные Финансы продолжают оставаться уязвимой отраслью с анонимными основателями, открытым исходным кодом и миллиардами долларов, готовыми рискнуть. Этот огромный объем капитала создал систему стимулирования, согласованную с командами, которые быстро строят и выпускают токены.

Читать дальше: Проблема анонимности Wonderland (и DeFi)

Напротив, осторожность и профессионализм гораздо менее интересны трейдерам и инвесторам. Мировая экономика снова и снова видела эффект постоянного принятия риска, хотя рынок в конечном итоге наказывает за кратчайшие пути. Нет никаких оснований полагать, что тот же результат T продолжит разыгрываться в Криптo и децентрализованных Финансы, и только самые дотошные протоколы выйдут из игры в конце.

Фримен также размышлял о том, где находится середина между «Кодексом — это закон» и доверием третьей стороны. Он поднял вопрос о том, что вознаграждения за ошибки необходимы для стимулирования хороших актеров искать и находить уязвимости. Устанавливая вознаграждение за то, что ты хороший актер, на той же шкале, что и выплата за то, что ты плохой актер, эта шкала внезапно склоняет стимулы в сторону белой хеттинга.

Как выразился Фридман, такого рода «дружеское соперничество» может побудить участников экосистемы быть более открытыми, честными и даже пессимистичными в отношении новых идей.

Этот пессимизм является ключевым. Сегодняшняя среда, возможно, чрезмерно оптимистична, заставляя инвесторов и пользователей DeFi воодушевляться протоколами, которые никогда не смогут работать или даже могут быть опасными. Такое отсутствие контроля в сочетании с природой открытого исходного кода создает идеальную среду для хакеров и мошенников, проблема, которую большая часть Криптo , похоже, не готова признать.