- Die Ethereum-Layer-2-Skalierungslösung Optimism hat einen kritischen Fehler entdeckt und behoben, der die wiederholte Erstellung von ETH-Tokens ermöglicht hätte.
- Das Problem wurde von Entwickler Jay Freeman entdeckt und gemeldet, der dafür 2 Millionen Dollar Belohnung erhalten hat.
Optimism, Ethereums viertgrößte Layer-2-Skalierungslösung nach Total Value Locked, hat vor kurzem einen systemkritischen Fehler im Pegrammcode identifiziert und behoben. Das Netzwerk erfuhr letzte Woche von der Schwachstelle, nachdem sie von dem Whitehat-Hacker Jay Freeman, dem Entwickler der Cydia- und Orchid-Protokolle, entdeckt und gemeldet worden war.
Es wurde bekannt, dass der Fehler unbeabsichtigt von einem Etherescan-Mitarbeiter ausgelöst wurde. Dadurch wäre es möglich gewesen, unendlich viele ETH-Token zu erzeugen, indem man ein Miniprogramm auf dem contract startet, der das ETH-Guthaben enthält. Wie Freeman in einem Deep-Dive-Blogpost erklärte, würde der Bug einem Angreifer erlauben, Geld auf jeder Chain zu replizieren, die ihren OVM 2.0-Fork von Go-Ethereum verwendet. Weiter heißt es:
„Der Fehler hätte es ermöglicht, ETH auf Optimism zu erzeugen, indem der Opcode SELFDESTRUCT wiederholt auf einem Contract ausgelöst worden wäre, der ein ETH-Guthaben enthielt.“
Whitehat-Hacker erhält 2 Millionen Dollar
Zum Glück für das Netzwerk hatten keine böswilligen Hacker vor dem Patching Kenntnis von dem Fehler. Innerhalb weniger Stunden nach der Bestätigung des Problems testete Optimism einen Fix im Kovan-Testnetz und im Optimism-Mainnet und setzte ihn ein. Außerdem hat das Team andere anfällige Optimism-Forks und Bridge-Provider über die technische Schwachstelle informiert. Alle Projekte, die mit Optimism verbunden sind, sind nun frei von dem Fehler.
Als Zeichen der Dankbarkeit hat Optimism Freeman die maximale und damit eine der größten Belohnugszahlungen in Höhe von rund 2 Millionen Dollar zugesprochen. Wenn der Fehler nicht rechtzeitig entdeckt worden wäre, hätte das Netzwerk wahrscheinlich einen immensen Verlust erlitten. Darüber hinaus ermutigt die Belohnung andere Mitglieder der Entwicklergemeinschaft, solche Anfälligkeiten zu melden, anstatt sie auszunutzen.
Sicherheitsbedenken bei Krypto-Projekten
Optimism ist nicht die einzige Ethereum-Skalierungslösung, die Probleme mit Bugs hatte. Gegen Ende Dezember hat Polygon in aller Stille einen Fehler behoben, durch den 9,27 Milliarden seiner 10 Milliarden MATIC-Tokens dem Risiko des Diebstahls ausgesetzt waren. Zwei White-Hat-Hacker, die das Problem als erste meldeten, erhielten eine Belohnung von insgesamt 3,5 Millionen Dollar; und schon im Oktober hatte Polygon mit Hilfe eines anderen Whitehat-Hackers eine Schwachstelle behoben, die das Unternehmen 850 Millionen Dollar hätte kosten können.
Mehr zum Thema: Polygon behebt kritischen Fehler mit Potenzial für Milliarden-Schaden
Während Layer-2-Protokolle Ethereum und seinen Kunden zahlreiche Vorteile gebracht haben, deuten diese Ereignisse allerdings auf größere Probleme ihrer Sicherheitsprotokolle hin.
Um Blackhat-Hackern einen Schritt voraus zu sein, hat die MakerDAO eine Belohnung in Höhe von maximal 10 Millionen Dollar für jeden ausgesetzt, der dabei hilft, signifikante Sicherheitslücken in ihren Smart Contracts zu identifizieren. Das Angebot ist das größte, das jemals von der Bug Bounty-Plattform Immunefi gemacht wurde.