A hacker figured out how to trick Ethereum scaling solution Optimism into printing unlimited Ether this month. Software engineer Jay Freeman (Saurik) reported the exploit & received a $2-million bounty: https://t.co/CC0PzEvzN5#Ether #Ethereum #Crypto #bugbounty #cryptocurrency pic.twitter.com/vggDZUtL7R
— Realtime Recruitment (@realtimejobs_) February 15, 2022
這兩天,數字加密貨幣圈都在議論一個重大新聞,裡面包含了一條壞消息和一條好消息:
壞消息是,市值第二高的數字加密貨幣——以太幣(ETH)居然被人發現有一個重大的漏洞,
人們可以通過這個漏洞無限複製以太幣!
好消息是,漏洞被白帽黑客 Jay Freeman 及時發現並通知了以太坊(Ethereum),
漏洞被修復之後,這位白帽黑客獲得了 200 萬美元的獎勵。
雖說修復及時,但這條新聞依然給許多人極大的震撼:
號稱安全係數極高的數字加密貨幣,竟然有漏洞可以無限複製!
好比現實世界裏有人不經意發現了操控印鈔廠的方法,可以給自己無限印鈔 …
那麼,這一切到底是怎麼發生的呢?
先來說說第二大加密數字貨幣以太幣(ETH)吧。以太幣是由去中心化的開源公共區塊鏈平台以太坊(Ethereum)推出的原生加密貨幣。
2014 年,受比特幣啟發,創辦人通過眾籌開發了以太幣,截止去年 12 月底,以太幣已經發展成為全球市值第二高的加密貨幣。
然而,以太坊平台的安全性能卻一直令人堪憂,發行不到兩年,2016 年 6 月,就有一位不知名的黑客從平台偷走了一部分錢。
從此,由於編碼經常出現漏洞,以太坊也成了越來越多的黑客的目標,
過去幾年,各路黑客從這裏偷走了價值數百萬美元的以太幣。
雖說經過幾年的發展,以太幣價格一路走高,業務也越做越大,但安全問題一直讓公司高層無比頭疼。
當然有時候,也不全是以太坊自己出問題,一些對接的交易數字加密貨幣的平台出現漏洞時,也會讓以太坊遭到殃及。
比如今年 1 月,世界最大的數字加密貨幣交易平台之一 Crypto.com 就被黑客攻破,黑客們偷走了價值 1500 萬美元的以太幣(比特幣被偷了大約 1800 萬美元)。
然而,以太坊沒有想到的是,一個可能讓他們蒙受驚天損失的巨大 Bug 已經出現,正潛伏在擴展的平台里 …
這些年,隨着以太坊的發展,以太坊不可避免地需要升級擴容,於是乎,一個開發出來與以太坊虛擬機 ( EVM ) 兼容的 Optimistic Rollup 解決方案—— " 以太坊 L2",又稱 Optimism 的平台誕生了。
Optimism 與以太坊並行,能夠在繼承以太坊安全性的同時大規模處理交易。
簡單來說,Optimism 就是以太坊的延伸,同時和以太坊緊密對接,因此,Optimism 上出現漏洞,很可能導致以太坊的安全受到威脅。
好在,以太坊足夠幸運,在出現驚人事故之前,白帽黑客 Jay Freeman 及時出手,化險為夷。
Freeman 是業內一名資深黑客,是 iOS 越獄軟件 Cydia 的創建者。
最近一段時間,他在集中鑽研 " 區塊鏈掃描 bug",不經意發現了 Optimism 上的一個編碼漏洞,
這個漏洞非常致命:
它能讓發現這個漏洞的網絡攻擊者無限複製以太幣!
具體來說的就是,發現漏洞的人只要進行一定的編碼操作,通過曾經持有的以太幣的智能合約上運行 SELF-DESTRUCT 操作碼命令,就能被返回一個相應的以太幣。
也就是說,只要不斷重複這樣的操作,就有可能無限地複製以太幣,宛如掌握了數字版的印鈔機 …
Freeman 作為第一個發現這個漏洞並意識到它嚴重性的人,並不打算利用這個漏洞牟取私利。
據 Freeman 透露,去年平安夜就有人就通過區塊鏈瀏覽器發現了這個漏洞,但或許那人當時沒有意識到它的功能和破壞力。
2 月 2 日,Freeman 火速向 Optimism 和以太坊發了郵件,詳細描述了這個漏洞,還提供了他攻破漏洞的方法。
他希望 Optimism 和以太坊儘快修復漏洞,以免造成難以估量的損失。
Freeman 的仗義出手讓以太坊高層非常感動,在快馬加鞭修復漏洞後,他們決定給予 Freeman 200 萬美元的獎勵,表彰他的出手相助。
200 萬美元,是有史以來給白帽黑客最高的回報獎金。但考慮到如果沒有 Freeman 及時發現漏洞,一個可以無限複製以太幣的漏洞,以太坊的經濟損失和災難將難以估量,甚至更嚴重地,進一步波及整個數字加密貨幣行業。
所以,對以太坊來說,這樣一份獎金支出,也算物有所值了 …