iOS 越狱开发者因发现关键的 Optimism 漏洞而获得 200 万美元的奖金

以太坊第 2 层扩展项目 Optimism 的开发人员宣布，已发现一个“严重错误”并随后在本月早些时候进行了修补。

该漏洞本可以让黑客在 Optimism 账户余额中创建尽可能多的“ETH”，最初是由白帽黑客和 iOS 越狱软件 Cydia 开发人员 Jay Freeman 发现的。

在一篇深入的博客文章中，Freeman解释说，该漏洞“将允许攻击者使用他们的go-ethereum的‘OVM 2.0’分叉在任何链上复制资金”。由于他的努力，Freeman获得了迄今为止最大的漏洞赏金之一，总奖励金额为 2,000,042 美元

根据 Optimism 团队的说法，“该漏洞使得可以通过在持有 ETH 余额的合约上反复触发 SELFDESTRUCT 操作码来在 Optimism 上创建 ETH。”

在一篇博客文章中，Optimism 团队指出，其链历史显示，除了以太坊数据初创公司 Etherscan 的一名工作人员意外激活该漏洞外（没有产生可用的额外漏洞），该漏洞并未被利用。

该团队表示：“在确认后数小时内，对该问题的修复进行了测试并部署到 Optimism 的 Kovan 和 Mainnet 网络（包括所有基础设施提供商），”感谢 Infura、QuickNode 和 Alchemy 的快速响应。

“我们还提醒多个易受攻击的 Optimism 分叉和桥接提供商注意该问题的存在。这些项目都应用了所需的修复。”

去年年底，Optimism 删除了其白名单（允许任何开发人员开始在 Optimism 网络上构建项目）。在此之前，该网络仅适用于 Uniswap 和 Synthetix 等特定项目。此限制使开发人员更容易检测和解决潜在的漏洞。

Optimism 是以太坊网络的第 2 层扩展解决方案，采用“optimistic rollups” 聚合以太坊区块链之外的交易。

这提供了减少滑点、降低交易成本和大大提高交易速度的好处。然而，正如这个错误所表明的那样，虽然第 2 层协议提高了效率，但持续开发过程中的安全性仍然是一个共同的关注点。

虽然这笔奖金是迄今为止支付的最大一笔奖金，但 MakerDAO 刚刚宣布，它将向任何能够在其智能合约中指出严重安全威胁的人提供最高 1000 万美元的奖金。这是迄今为止在漏洞赏金平台 Immunefi 上托管的最大的漏洞赏金系列。