La solution Ethereum de seconde couche, Optimism, a corrigé une faille majeure qui aurait permis une création illégale et continue de jetons ETH. L'annonce a été faite par la société sur son compte Twitter où elle a remercié le hacker répondant au pseudonyme Saurik pour avoir passé autant de temps à enquêter sur son réseau, ce qui lui a permis de trouver cette faille puis de la corriger.Le 2 février, l'équipe d'Optimism a été alertée par Jay Freeman (qui répond au pseudo Saurik, connu pour son travail sur Cydia, une alternative à l'App Store pour les appareils iOS jailbreakés, et Orchid où il a mis en place tous les contrats intelligents d'Orchid, y compris celui utilisé pour les nanopaiements) de l'existence d'un bogue critique dans le fork Geth d'Optimism.
Dans un billet technique, Jay a décrit précisément comment cette vulnérabilité pourrait conduire à la duplication infinie de la deuxième cryptomonnaie en matière de valeur. Il a expliqué que tout développeur de la chaîne Ethereum pourrait automatiquement utiliser l'un de ses forks pour créer de nouveaux jetons. Plus précisément, une régénération continue est déclenchée en exécutant une commande d'opcode SELF-DESTRUCT sur un contrat intelligent qui détenait autrefois des jetons ETH.
Comme suite à la résolution rapide du bogue, Optimism a rapidement récompensé le lanceur d'alerte Jay Freeman, d'un montant de 2 millions de dollars. La récente récompense fait de la prime de Freeman l'une des plus élevées jamais enregistrées. Cependant, une récompense raisonnable si l'on considère combien aurait pu être perdu si une partie malveillante avait compris le problème. De plus, le bonus incite les développeurs à signaler les incohérences de code au lieu de les exploiter à des fins égoïstes.
Jay Freeman a déclaré : « Le 02-02-2022, j'ai signalé un problème de sécurité critique à Optimism - une "solution de mise à l'échelle L2" pour Ethereum - qui permettrait à un attaquant de répliquer de l'argent sur n'importe quelle chaîne en utilisant leur fork "OVM 2.0" de go-ethereum (qu'ils appelaient l2geth). Rapidement, Optimism - dont la plateforme utilise actuellement un "séquenceur" centralisé - a décidé de corriger ce bogue sur ses nœuds et son infrastructure. Les projets en aval qui utilisaient leur base de code (Boba et Metis) ont eux aussi été corrigés ».
Le 2 février est également la date à laquelle des cybercriminels ont volé plus de 323 millions de dollars en cryptomonnaie en exploitant une vulnérabilité dans Wormhole, un service Web qui permet des transactions entre différentes blockchain. Dans ce cas, les responsables ont envoyé un message aux hackers pour leur demander de rendre l’argent, en échange d’une récompense de 10 millions de dollars : « Nous avons remarqué que vous pouviez exploiter la vérification Solana VAA et frapper des jetons. Nous aimerions vous proposer un accord whitehat et vous offrir une prime de bogue de 10 millions de dollars pour que vous nous communiquiez les détails de l'exploit et vous nous rendiez le wETH que vous avez frappé. Vous pouvez nous contacter à contact@certus.one ».
Pour en revenir à l'affaire, Saurik effectuait un examen au sein du réseau Optimism lorsqu'il a trouvé et signalé un bogue critique au sein du réseau qui permettait à tout pirate informatique de générer des ETH en activant un opcode d'autodestruction dans les contrats d'argent dans leurs soldes.
Compte tenu de cela, les développeurs d'Optimism se sont mis au travail pour examiner et résoudre ce problème. L'une des premières choses qu'ils ont faites a été de vérifier si cette faille avait déjà été utilisée et avait généré de l'ETH de manière malveillante. Cela s'est avéré ne pas s'être produit et a été signalé dans la déclaration de la société.
Optimism assure que, lors de l'examen de l'historique au sein du réseau, ils ont confirmé que cette erreur n'avait pas encore été utilisée pour générer de l'ETH malgré le fait qu'elle avait été activée par un employé d' Etherscan . Cela représente un soulagement pour les développeurs puisque le réseau Ethereum n'a pas été altéré et ils n'auront pas à restituer l'argent volé si un tel cas se produit.
À partir de là, un protocole a été activé pour résoudre cette faille qui a été testée et développée dans les réseaux Kovan et Mainnet qui appartiennent à Optimism. Tout ce problème a été résolu en quelques heures et la société a alerté tous les projets qui sont un fork d'optimisme pour appliquer les correctifs :
« L'analyse de l'historique de la chaîne d'Optimism a montré que le bogue n'était pas exploité (le bogue semble avoir été accidentellement déclenché à une occasion par un employé d'Etherscan, mais aucun excès d'ETH utilisable n'a été généré). Un correctif pour le problème a été testé et déployé sur les réseaux Kovan et Mainnet d'Optimism (y compris tous les fournisseurs d'infrastructure) dans les heures suivant la confirmation. Nous tenons à remercier Infura, QuickNode et Alchemy pour leurs temps de réponse...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.