一名黑客在发现以太坊网络的一个令人震惊的漏洞后,获得了 2 万美元的漏洞赏金。 如果黑帽黑客发现了这个漏洞,可能会非常糟糕,他们本可以利用数字资产获取价值数十亿美元的 ETH。 相反,一个俗称 Saurik 的“灰帽”黑客将这个漏洞通知了以太坊团队,并为自己获得了可观的回报。
寻找以太坊的漏洞
黑客 Saurik 在 Optimism(以太坊第 2 层汇总解决方案)上发现了该漏洞。 黑客本人发布了一份报告,说明他是如何在解决方案中发现漏洞的。 通过查看汇总中的纳米支付协议,他发现了一个漏洞,该漏洞可能允许攻击者从解决方案中肆无忌惮地提取“几乎无限”数量的 ETH。
相关阅读 | TA:以太坊克服障碍,为什么 100 SMA 是关键
它类似于部署在流行的智能合约区块链 Solana 上的攻击方法,导致 Wormhole 遭受 353 亿美元的黑客攻击。 乐观主义,就像虫洞一样,造就了所谓的“包裹以太”。 用户将他们的以太币存入智能合约基本上作为抵押品,它们甚至是仅存在于 Optimism 网络上的这些代币。 然后,他们使用纳米支付协议使交易变得越来越快。
ETH 回升至 3,100 美元以上 | 资料来源:TradingView.com 上的 ETHUSD
以开发越狱 iOS 闻名的 Saurik 证实了该漏洞。 然而,这位自称灰帽黑客的人并没有利用该漏洞谋取私利,而是将其报告给了 Optimism 开发人员。 作为回报,Saurik 因其利他主义获得了 2 万美元的奖金,这有助于使网络和 layer 2 rollup 对用户来说更安全。
揭穿流行谣言
在漏洞和随后的赏金支付的消息传出后,有传言说如果攻击者选择不向开发人员报告,他们可以用它做什么。 其中最受欢迎的是攻击者能够从网络中提取无限数量的 ETH。 虽然这有一些优点,但它在很大程度上是错误的。
首先,该漏洞存在于第 2 层汇总解决方案 Optimism 上。 虽然该协议存在于以太坊网络上,但它不是网络本身。 这意味着该漏洞仅局限于协议。 因此,虽然攻击者可以利用这一点提取“无限”数量的 ETH,但他们只能提取 Optimism 地址上的可用余额。
相关阅读 | 以太坊今年会达到 7 美元吗? Finder的面板说是
尽管如此,如果黑帽黑客发现了该漏洞,其结果将对第 2 层协议的用户造成毁灭性的后果仍然不是什么秘密。 此事件充分说明了错误赏金的有用性。 虽然一开始这些赏金的回报可能看起来太大了,但人们必须考虑如果没有激励黑客提出他们的发现的替代方案会是什么。 白帽黑客无疑帮助每年节省数百万甚至数十亿美元。
Gagadget 的特色图片,TradingView.com 的图表
资料来源:https://www.newsbtc.com/news/ethereum/hacker-scoops-up-2-million-bounty-after-spotting-fatal-flaw-in-ethereum-rollup/