17 Feb 2022

Хакер нашел лазейку, чтобы создавать неограниченное количество Ethereum: за это ему заплатили $2 млн

Редактор новостей в MC.today

Разработчики проекта Optimism, которые занимаются масштабированием Ethereum, рассказали, как нашли баг, который позволял создавать неограниченное количество токенов криптовалюты. Сейчас такой возможности нет, но хакеру, который это обнаружил, заплатили $2 млн. Редакция MC.today рассказывает подробности.

Что случилось

Уязвимость в системе аккаунта Optimism позволяла создать неограниченное количество Ethereum. Эту лазейку нашел белый хакер Джей Фриман, который разработал ПО Cydia для взлома iOS.

В одном из постов в Twitter Фриман объяснил, что баг позволял дублировать деньги.
В команде Optimism рассказали, что баг позволял запускать исполнительный код Selfdestruct, который начинал пополнять счет.

Last week, I discovered (and reported) a critical bug (which has been fully patched) in @optimismPBC (a “layer 2 scaling solution” for Ethereum) that would have allowed an attacker to print arbitrary quantity of tokens, for which I won a $2,000,042 bounty. https://t.co/J6KOlU8aSW

— Jay Freeman (saurik) (@saurik) February 10, 2022

За свою находку Фриман получил крупнейшую в истории награду для баг-хантеров – $2 млн. В Optimism проанализировали блокчейн и выяснили, что баг никто раньше не использовал. Только один раз сотрудник стартапа Etherscan случайно смог активировать запуск кода, но он не стал пополнять свой баланс. Баг компания устранила за несколько часов.

Хотя награда Фримана – одна из самых крупных в истории, система MakerDAO уже сообщила, что будет предлагать награду до $10 млн за обнаружение критических уязвимостей в своих смарт-контрактах.

Этот материал – не редакционныйЭто – личное мнение его автора. Редакция может не разделять это мнение.