Titres Titres
Le 10 février, le développeur bien connu de Cydia et iOS Jailbreak, Jay Freeman, autrement connu sous le nom de Saurik, a publié un fil Twitter sur un bogue qu’il a trouvé dans le protocole de mise à l’échelle Layer-2 (L2) connu sous le nom d’Optimism. Selon Freeman, la vulnérabilité, qui a été corrigée, aurait pu permettre à un attaquant de créer une quantité infinie de jetons.
Cydia Creator ‘Saurik’ découvre la vulnérabilité Optimism L2
Jay Freeman est un éminent développeur de logiciels bien connu pour ses outils iOS Jailbreak et Cydia. L’interface utilisateur graphique (GUI) Cydia de Freeman a été publiée en février 2008 et donne aux utilisateurs d’iPhones jailbreakés la possibilité de télécharger des logiciels non autorisés pour le système d’exploitation iOS des smartphones Apple. Freeman a récemment publié un article de blog intitulé « Attaquer un Ethereum L2 avec un optimisme débridé », qui explique comment il a signalé un problème de sécurité critique aux développeurs de la solution de mise à l’échelle L2 Optimism.
La solution L2 d’Optimism permet aux utilisateurs de déplacer Ethereum pour une fraction du coût. Actuellement, déplacer de l’éther à l’aide d’Optimism peut coûter 0,56 $ par transfert, contrairement aux frais de gaz L1 actuels qui sont de 3,29 $ par transaction. Pour échanger des pièces sur la chaîne en utilisant L1, il en coûtera à un utilisateur 16,47 $ en éther, mais utiliser Optimism pour échanger des pièces coûtera 0,83 $. Freeman a signalé la vulnérabilité Optimism le 2 février 2022 et le bogue a depuis été corrigé.
L’attaque aurait permis « à un attaquant de répliquer de l’argent sur n’importe quelle chaîne en utilisant leur fork » OVM 2.0 « de go-ethereum (qu’ils appellent l2geth) », a déclaré Freeman. Le développeur a en outre expliqué qu’il prévoyait de parler de la vulnérabilité Optimism le 18 février à Ethdenver 2022. Freeman était également récompensé une prime de 2 000 042 $ pour avoir découvert le bogue et l’avoir divulgué à l’équipe. Le billet de blog de l’ingénieur logiciel décrit comment l’attaquant pourrait frapper une quantité arbitraire de jetons avant que le bogue ne soit corrigé.
« Le bogue présenté ici – que je surnomme » Optimisme débridé « – peut peut-être (grossièrement) être modélisé comme un bogue de l’autre côté d’un » pont « », a écrit Freeman. « Mais c’est en fait un bogue dans la machine virtuelle qui exécute les contrats intelligents sur Optimism. L’exploitation de cela permet à l’attaquant d’avoir accès à un nombre effectivement illimité de jetons (alias, les reconnaissances de dette) de l’autre côté du pont. Je soutiens que c’est plus dangereux que de simplement tromper les réserves pour qu’elles autorisent un retrait. Le développeur a poursuivi :
De plus, avec votre offre illimitée de reconnaissances de dette, vous pouvez vous rendre dans toutes les bourses décentralisées fonctionnant sur la L2 et gâcher leurs économies, en achetant de grandes quantités d’autres jetons tout en dévaluant la propre monnaie de la chaîne. En utilisant votre accès à un capital infini, vous pouvez encore manipuler les oracles de tarification en chaîne pour tirer parti d’autres attaques ; et, jusqu’à ce que quelqu’un réalise enfin que votre argent est contrefait, les arbitragistes afflueront vers le réseau pour vous vendre leurs actifs.
Le pessimisme entourant les applications inter-chaînes
En plus de la vulnérabilité trouvée dans Optimism, Freeman a discuté en détail de la technologie des ponts inter-chaînes. Le développeur a mentionné que le jour même où il a divulgué le bogue à Optimism, le pont Wormhole a été attaqué. Freeman a également évoqué le piratage de Poly Network dans son message. « Même lorsque les pirates volent de l’argent sur un pont, les ramifications sont limitées », explique le billet de blog de Freeman.
Freeman découvrant le bogue de l’optimisme fait suite à la multitude de piratages contre les ponts inter-chaînes et à la nouvelle inquiétude de la communauté concernant la sécurité de cette technologie en plein essor. Le billet de blog du développeur Cydia mentionne des concepts tels que « » polices d’assurance « contre les piratages cryptographiques ». De plus, le co-fondateur d’Ethereum (ETH), Vitalik Buterin, a récemment évoqué les préoccupations liées à la sécurité des plateformes de ponts inter-chaînes. « Je suis pessimiste quant aux applications inter-chaînes », déclare un récent article Reddit de Buterin.
Que pensez-vous de la découverte du bogue de l’Optimisme par Jay Freeman ? Faites-nous savoir ce que vous pensez de ce sujet dans la section commentaires ci-dessous.
Crédits image: Shutterstock, Pixabay, Wiki Commons
Avertissement: Cet article est à titre informatif seulement. Il ne s’agit pas d’une offre directe ou d’une sollicitation d’une offre d’achat ou de vente, ni d’une recommandation ou d’une approbation de tout produit, service ou entreprise. Bitcoin.com ne fournit pas de conseils d’investissement, fiscaux, juridiques ou comptables. Ni la société ni l’auteur ne sont responsables, directement ou indirectement, de tout dommage ou perte causé ou présumé avoir été causé par ou en relation avec l’utilisation ou la confiance accordée à tout contenu, bien ou service mentionné dans cet article.
