Cómo esta solución de escalado de Ethereum solucionó un error antes del desastre

A principios de febrero, el equipo detrás de la solución de escalado de Capa 2 de Ethereum, Optimism, se enteró de un error crítico que podría permitir que un mal actor «cree ETH» en la red. El error era parte de la bifurcación Geth de la solución y fue descubierto por el CTO de Orchid Protocol, Jay «saurik» Freeman.

Lectura relacionada | Cómo el inventor de Ethereum predijo la violación de seguridad de $ 321 millones de Wormhole

Un mal actor podría haber explotado la vulnerabilidad de estas soluciones Ethereum Layer 2 a través del código de operación SELFDESTRUCT en un contrato que tenía fondos en la criptomoneda subyacente, según una publicación oficial. Sin embargo, el error se solucionó sin ser explotado.

El equipo detrás de Optimism realizó un historial de la cadena y descubrió que el error solo se activó una vez, 40 días antes de que lo descubriera, accidentalmente un empleado de Etherscan. Sin embargo, la persona no generó ningún ETH, según la investigación de Freeman. El equipo agregó:

Se probó y se implementó una solución para el problema en las redes Kovan y Mainnet de Optimism (incluidos todos los proveedores de infraestructura) a las pocas horas de la confirmación.

Optimism Forks también ha sido alertado sobre la vulnerabilidad y, como dijo el equipo, todos han aplicado la solución. En este sentido, le piden a cualquiera que ejecute una réplica de su software que actualice a la versión 0.5.11 de l2geth o se arriesgue a perder la sincronización con el resto de la red.

Freeman recibirá la recompensa máxima, estimada en 2 millones de dólares, por su contribución a la solución de escalado de Ethereum. El equipo detrás de Optimism le agradeció por «ayudar a mantener a Optimism a salvo». Agregaron lo siguiente sobre los nuevos desafíos que enfrenta un proyecto en crecimiento:

Hoy, entre puentes, más proveedores e incluso más bifurcaciones de red principal de nuestro código base, es una historia diferente. Es excelente para la descentralización, pero agrega complejidad a las compilaciones. Y los lanzamientos de seguridad traen aún más complejidad: no podemos lanzar inmediatamente una solución obvia, o corremos el riesgo de que alguien haga ingeniería inversa de la vulnerabilidad antes de que alguien actualice.

Cómo atacar una solución de escalado de Ethereum

Freeman publicó un informe detallado sobre sus hallazgos, y agregó que la solución de segunda capa estaba abierta a ataques a través de su cliente, OVM 2.0, una bifurcación de Ethereum llamada l2geth. El protocolo Orchid, como dijo, es una solución de escalado de segunda capa. Por lo tanto, su experiencia fue invaluable para descubrir la vulnerabilidad del optimismo.

Freeman llamó al error que descubrió «Unbridle Optimism» y afirmó que provenía de la máquina virtual que ejecuta contratos inteligentes en Optimism. Minándolo, un mal actor podría producir ETH desde el «otro lado del puente» que conecta el L1, Ethereum y su segunda capa. Escribe en su informe:

(…) Argumento que esto es más peligroso que simplemente inducir a las reservas a autorizar un retiro. Con la capacidad de imprimir a escondidas pagarés (conocidos en Optimism como OETH) al otro lado del puente, aún puede intentar (lentamente) retirar dinero de las reservas, pero ahora parecerá una transferencia legítima, lo que lo hará más fácil pasar desapercibido.

La calamidad podría haberse extendido a todo el ecosistema Ethereum, ya que un mal actor podría haber ingresado a protocolos descentralizados utilizando el optimismo y «perturbado sus economías», según el informe. Por lo tanto, Freeman lo llamó un «ataque de duelo económico» que podría poner en peligro «todo el libro de contabilidad».

Lectura relacionada | Hacker aprovecha vulnerabilidad para robar 801,601 tokens MATIC de Polygon

Al cierre de esta edición, el precio de ETH está en $3,091 con una pérdida del 4% en las últimas 24 horas.

Ethereum ETH ETH USDETH moviéndose lateralmente en el gráfico diario. Fuente: ETHUSD Tradingview

Deja una respuesta

Tu dirección de correo electrónico no será publicada.