Das Blockchain-Forschungs- und Entwicklungsunternehmen Offchain Labs gab die Identifizierung von zwei Sicherheitslücken im Optimism-Testnetz bekannt. Die Ergebnisse wurden am 22. März umgehend mit OP Labs, dem für die Projektentwicklung verantwortlichen Team, geteilt. Diese Schwachstellen wurden im von OP Labs implementierten Betrugsschutzsystem Optimism identifiziert.
Offchain Labs stellte OP Labs einen Demonstrations-Exploit-Code zur Verfügung, um die Identifizierung und das Verständnis dieser Sicherheitsbedenken zu erleichtern. Am 25. März bestätigte OP Labs das Vorhandensein dieser Probleme und koordinierte die Offenlegung der Schwachstellen mit Offchain Labs.
Gemäß den Bedingungen der Vereinbarung zwischen den beiden Parteien war Offchain Labs verpflichtet, die Sicherheitslücke nicht öffentlich bekannt zu geben, bis sie behoben ist. Das Optimism-Testnetz wurde am 25. April aktualisiert, sodass das Unternehmen die Sicherheitslücken heute zum ersten Mal offenlegen konnte.
Die Schwachstellen ermöglichten es böswilligen Entitäten, den betrugssicheren Mechanismus von OP Stack zu manipulieren, um falsche Kettenverläufe zu akzeptieren oder die Annahme korrekter Kettenverläufe zu verhindern. Das Problem entstand durch Schwachstellen im Design des betrugssicheren Designs von OP Stack bei der Handhabung von Timern, was dazu führte, dass das betrugssichere System von OP Stack die Sicherheitsgarantien im Vergleich zu der Methode, die ausschließlich auf Notfallinterventionen des Sicherheitsrats beruhte, nicht verbessern konnte.
Offchain Labs beleuchtet Herausforderungen bei der Verwendung von Timern im betrugssicheren Design
Offchain Labs betonte, dass Timer die kompliziertesten Aspekte des betrugssicheren Designs darstellen. Im Challenge-Spiel kann sich eine gegnerische Partei dafür entscheiden, keine Aktion auszuführen, was dazu führen kann, dass das Protokoll zu einem bestimmten Zeitpunkt eine Auszeit für einen nicht reagierenden Spieler erklären muss. Während dieses Zeitablaufs steht das Protokoll vor der Herausforderung, zu erkennen, ob der Spieler tatsächlich Zensur erfährt oder ob es sich stattdessen um einen schlechten Schauspieler handelt, der vorgibt, zensiert zu werden. Daher muss das Protokoll ehrlichen Spielern ausreichend zeitliche Flexibilität einräumen, um Verluste durch Zensur zu vermeiden, und gleichzeitig verhindern, dass böswillige Spieler das Protokoll unnötig verzögern.
Im Szenario Optimismus, an dem mehrere Spieler teilnehmen, ist die Verwaltung der Zeitguthaben nicht einfach.
Die ursprüngliche Bereitstellung des OP-Protokolls im Testnetz war anfällig für Verräterangriffe dieser Art, da es einem Verräter ermöglichte, unverdientes Zeitguthaben zu erlangen. Diese Schwachstelle hätte es einem böswilligen Akteur ermöglichen können, in einem betrugssicheren Spiel zu siegen, das er eigentlich hätte verlieren sollen, was möglicherweise zur Annahme einer betrügerischen Kettenhistorie oder zur Ablehnung einer korrekten Kettenhistorie geführt hätte.
Optimism funktioniert als Layer-2-Blockchain, die auf dem Ethereum-Netzwerk basiert und die Sicherheitsfunktionen des Ethereum-Mainnets nutzt, um die Skalierbarkeit innerhalb des Ethereum-Ökosystems durch optimistische Rollups zu steigern. Der OP Stack stellt die Software-Suite dar, die Optimism antreibt, unterstützt derzeit OP Mainnet und wird sich in Zukunft zusammen mit seiner Governance-Struktur zur Optimism Superchain entwickeln. Er ist als öffentliche Ressource konzipiert, die sowohl dem Ethereum- als auch dem Optimism-Ökosystem zugutekommt.
Der Beitrag „Offchain Labs gibt die Entdeckung zweier kritischer Schwachstellen in den Betrugsnachweisen des OP-Stacks von Optimism bekannt“ erschien zuerst auf Metaverse Post.