2月10日,Cydia团队iOS越狱的知名开发者杰伊·弗里曼(Jay Freeman,又名Saurik)发布了一条推特帖子,讲述了他在L2 Rollup协议Optimism中发现的一个漏洞。据Freeman称,该漏洞已被修补,可能会允许攻击者创建无限量的代币。
杰伊·弗里曼(Jay Freeman)是一位著名的软件开发人员,以其iOS越狱和Cydia工具而闻名。Freeman的Cydia图形用户界面(GUI)于2008年2月发布,它让越狱iPhone用户能够下载iOS未经授权的软件。弗里曼最近发表了一篇博客文章,名为“用不受约束的Optimism攻击以太坊L2”,解释了他如何向L2扩展解决方案Optimism的开发人员报告一个关键的安全问题。
Optimism L2解决方案允许用户以很小的成本转移以太坊。目前,使用Optimization交易以太坊每笔交易的成本为0.56美元,而如今的L1 GASFEE每笔交易的成本为3.29美元。使用L1在链上交易其他代币需要用户支付16.47美元的以太费用,但使用Optimism 交易代币需要支付0.83美元。弗里曼在2022年2月2日报告了Optimism漏洞,该漏洞已被修补。
弗里曼说,这次攻击将允许攻击者使用Go ETHereum(他们称之为l2GETH)的“OVM 2.0”分支在任何主链复制代币,开发者进一步解释说,他计划在2022年2月18日的埃斯丹佛会议上讨论Optimism的漏洞。弗里曼还因发现该漏洞并将其透露给团队而获得2000042美元的赏金。该软件工程师的博客文章描述了攻击者如何在修补漏洞之前造出任意数量的代币。
弗里曼写道:“这里出现的bug——我称之为‘放肆的乐观’——可能(粗略地)被建模为‘桥’远端的bug,但实际上是虚拟机中的一个漏洞,它基于Optimism执行的智能合约。利用这一漏洞,攻击者可以在跨链桥的另一侧访问数量实际上是无限的代币(又称借条)。我认为,这比仅仅诱使储备允许提款更危险。”
此外,有了无限制的白条供应,你可以去L2上运行的每一家去中心化的交易所,扰乱它们的经济,购买大量其他代币,同时让链上的代币贬值。甚至您可以进一步操纵链上定价预言器,以利用其他攻击,而且,在有人最终意识到你的代币是假的之前,套利者会蜂拥到网络上向你出售他们的资产。
除了Optimism中发现的漏洞外,弗里曼还详细讨论了跨链桥技术。开发人员提到,在他向Optimism透露漏洞的同一天,跨链桥遭到了攻击。弗里曼在他的帖子中也提到了Poly Network黑客。弗里曼的博客文章解释说:“即使黑客真的从跨链桥上盗窃,其后果也是有限的。”
弗里曼发现Optimism漏洞之前,针对跨链桥梁的大量黑客攻击,以及社区对这项新兴技术的安全性的新担忧。Cydia开发者的博客文章提到了针对加密黑客的‘保险单’之类的概念。此外,以太坊(ETH)联合创始人V神(Vitalik Buterin)最近讨论了与跨链桥梁平台安全相关的问题,V神表示他对跨链应用的安全性持悲观态度。
文章标题:Cydia Dev披露以太坊L2漏洞:黑客可无限量发行代币
文章链接:https://www.btchangqing.cn/344866.html
更新时间:2022年02月13日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
