一名駭客在發現以太坊網路的一個令人震驚的漏洞後,獲得了 2 萬美元的漏洞賞金。 如果黑帽駭客發現這個錯誤,那麼這個錯誤可能會非常嚴重,他們可能會利用該數位資產來獲取價值數十億美元的 ETH。 相反,一位俗稱 Saurik 的「灰帽」駭客向以太坊團隊通報了該漏洞,並為自己贏得了可觀的回報。
尋找以太坊上的漏洞
駭客 Saurik 在 Optimism(以太坊第 2 層匯總解決方案)上發現了該漏洞。 駭客本人發表了一份報告,介紹了他如何發現解決方案的漏洞。 透過查看匯總中的奈米支付協議,他發現了一個漏洞,該漏洞可能允許攻擊者從解決方案中無限制地提取「幾乎無限」數量的 ETH。
相關閱讀 | TA:以太坊克服障礙,為什麼 100 SMA 是關鍵
它類似於流行的智能合約區塊鏈 Solana 上部署的攻擊方法,該方法導致 Wormhole 遭受 353 億美元的駭客攻擊。 樂觀主義就像蟲洞一樣,創造了所謂的「包裹以太」。 用戶將以太幣存入智能合約,基本上作為抵押品,甚至這些代幣只存在於 Optimism 網路上。 然後他們使用奈米支付協議使交易變得越來越快。
ETH 回升至 3,100 美元以上 | 資料來源:TradingView.com 上的 ETHUSD
以開發越獄 iOS 而聞名的 Saurik 已經確認了這個漏洞。 然而,這位自封的灰帽駭客並沒有利用該漏洞謀取個人利益,而是將其報告給了 Optimism 開發人員。 作為回報,Saurik 由於其利他行為而獲得了 2 萬美元的賞金,這有助於使網路和第 2 層匯總對用戶來說更安全。
揭穿流行謠言
在該漏洞和隨後的賞金支付的消息傳出後,有傳言稱,如果攻擊者選擇不向開發人員報告該漏洞,他們可能會利用該漏洞做什麼。 其中最受歡迎的是攻擊者能夠從網路中提取無限量的 ETH。 雖然這有一些優點,但它很大程度上是錯誤的。
首先,漏洞存在於第 2 層匯總解決方案 Optimism 上。 雖然該協議存在於以太坊網路上,但它並不是網路本身。 這意味著該漏洞僅限於協議。 因此,雖然攻擊者能夠利用這一點提取「無限」數量的 ETH,但他們只能提取 Optimism 位址上的可用餘額。
相關閱讀 | 以太幣今年會達到 7 美元嗎? Finder 面板顯示“是”
儘管如此,如果黑帽駭客發現該漏洞,結果對於第 2 層協議的用戶來說將是毀滅性的,這仍然不是什麼秘密。 此事件充分說明了錯誤賞金的用處。 雖然這些賞金的獎勵乍看之下似乎太大了,但我們必須考慮如果駭客沒有動力提出他們的發現,替代方案是什麼。 白帽駭客無疑每年幫助節省數百萬甚至數十億美元。
精選圖片來自 Gagadget,圖表來自 TradingView.com
來源:https://www.newsbtc.com/news/ethereum/hacker-scoops-up-2-million-bounty-after-spotting-fatal-flaw-in-ethereum-rollup/