Чому хакери White Hat життєво важливі для Крипто

У минулі вихідні в ETHDenver, Джей Фрімен вийшов на сцену, щоб підкреслити його майже Цікаве помилок на мільярд доларів в рамках CORE коду Optimism, BOBA and METIS, який він назвав «Нестримний Optimism».

Фріман має історію розробки програмного забезпечення та хакерства, особливо відіграючи вирішальну роль у розробці програмного забезпечення для джейлбрейка iOS. Його досвід виявився безцінним у Крипто Дикого Заходу з відкритим кодом. Буквально два тижні тому вразливість смарт-контракту залишилася Червоточина міст з дірою в 350 мільйонів доларів, яку потрібно відремонтувати – і це навіть T те найбільший подвиг в новітній історії. Однак Фрімен зазначив, що експлойти мостів часто знаходять швидко, оскільки вони часто використовуються та постійно спостерігаються командами, відповідальними за їх обслуговування.

Читайте також: Jump Trading підтримує збитки Wormhole у розмірі 320 мільйонів доларів від експлуатації

Протягом першого тижня лютого Фріман виявив критичну помилку у віртуальній машині Optimism, ONE розробники, можливо, не були готові виправити так швидко. Помилка була вкорінена в Optimism самознищення функція, яка дозволяє руйнувати контракти та надсилає будь-який залишковий баланс ефіру на вказану адресу.

Звучить небезпечно, так чому блокчейни містять самознищення функція? Функція дозволяє видаляти застарілі або небезпечні контракти з ланцюга, повертаючи баланс ефіру законному власнику.

Звичайно, якщо немає помилки.

Оптимізм самознищення функція повернула баланс ефіру на вказану адресу без жодного спалювання балансу в рамках контракту. За словами Фрімена, «це означає, що коли контракт саморозривається, його баланс І передається бенефіціару, І ТАКОЖ ЗБЕРІГАЄТЬСЯ». Якби зловмисники змогли успішно викликати контракт, вони могли б створити петлю, яка подвоює їхній баланс OETH, поки розробники Optimism не помітять і не виправлять.

Фрімен зазначив, що він не був першою людиною, яка виявила помилку після попереднього сканування самознищення закликає Optimism і відстеження ONE гаманця назад до співробітника Etherscan. Співробітник знайшов і протестував помилку, але, мабуть, T зрозумів серйозності ситуації і залишив її на самоті. Уразливість з часом погіршилася, оскільки більше коштів було перекинуто в Optimism , а інші системи рівня 2 скопіювали код, який Optimism встановив. Рівень 2 - це супутні мережі, підключені, але функціонально відокремлені від базового рівня.

Отже, зауважив Фрімен, якби він не знайшов помилку, уразливість карбування дозволила б зловмиснику подвоїти свої кошти кожного разу, коли самознищення функція також була використана для BOBA та METIS .

Білі капелюхи та DeFi

Навіть якби команда Optimism помітила та тимчасово призупинила перехідні транзакції через секвенсор <a href="https://community.optimism.io/docs/protocol/sequencing/">https://community. Optimism.io/docs/protocol/sequencing/</a> під час теоретичної атаки зловмисник міг завдати шкоди децентралізованому Фінанси рівня 2 (DeFi). Використовуючи фальшиво створений OETH, будь-який зловмисник зможе злити децентралізовані біржі та використати платформи кредитування з марною заставою. Експлойт, ймовірно, завдав би непоправної шкоди в екосистемі Ethereum , і всі їхні кошти користувачів рівня 2 могли б стати марними, і на іншому кінці мосту не залишилося б активів. Разом у Optimism, BOBA та METIS було заблоковано близько 750 мільйонів доларів США в DeFi у день, коли було повідомлено про вразливість, майже всі вони були під загрозою.

Необхідність дружньої змагальності

Децентралізовані Фінанси залишаються вразливою галуззю з анонімними засновниками, відкритим вихідним кодом і мільярдами доларів, які прагнуть ризикнути. Ця величезна сума капіталу створила систему заохочення, узгоджену з командами, які швидко створюють і випускають токени.

Читайте також: Проблема анонімності країни чудес (і DeFi).

І навпаки, обережність і професіоналізм набагато менш захоплюють трейдерів та інвесторів. Світова економіка знову і знову бачила ефект постійного ризику, хоча ринок зрештою карає короткі шляхи. Немає причин думати, що такий самий результат T буде мати місце і надалі в Крипто та децентралізованих Фінанси, коли врешті-решт оживуть лише найретельніші протоколи.

Фрімен також подумав про те, де знаходиться золота середина між «Кодексом є Закон» і довірою третіх сторін. Він звернув увагу на те, що винагороди за помилки мають важливе значення для стимулювання хороших акторів шукати та знаходити вразливі місця. Встановлюючи винагороду за хорошого актора на такому ж рівні, як винагороду за поганого актора, ця шкала раптово схиляє стимули до білого капелюха.

Як сказав Фрідман, такий вид «дружньої суперництва» може спонукати учасників екосистеми бути більш відкритими, чесними і навіть песимістичними щодо нових ідей.

Цей песимізм є ключовим. Сьогодні середовище, можливо, надто оптимістичне, викликаючи захоплення інвесторів і користувачів DeFi щодо протоколів, які ніколи не можуть працювати або навіть можуть бути небезпечними. Ця відсутність нагляду в поєднанні з природою відкритого вихідного коду створює ідеальне середовище для хакерів і шахраїв, проблема, яку більшість Крипто , здається, не готова визнати.