La société de recherche et développement Blockchain Offchain Labs a révélé l'identification de deux vulnérabilités de sécurité sur le testnet Optimism. Les résultats ont été rapidement partagés avec OP Labs, l'équipe responsable du développement du projet, le 22 mars. Ces vulnérabilités ont été identifiées dans le système anti-fraude Optimism mis en œuvre par OP Labs.
Offchain Labs a fourni à OP Labs un code d'exploitation de démonstration pour aider à l'identification et à la compréhension de ces problèmes de sécurité. Le 25 mars, OP Labs a vérifié la présence de ces problèmes et coordonné la divulgation des vulnérabilités avec Offchain Labs.
Conformément aux termes de l'accord entre les deux parties, Offchain Labs devait s'abstenir de divulguer publiquement la vulnérabilité jusqu'à ce qu'elle soit résolue. Le réseau de test Optimism a fait l'objet d'une mise à jour le 25 avril, permettant à l'entreprise de divulguer les failles de sécurité pour la première fois aujourd'hui.
Les vulnérabilités ont permis à des entités malveillantes de manipuler le mécanisme anti-fraude d'OP Stack pour accepter un faux historique de chaîne ou l'empêcher d'accepter l'historique de chaîne correct. Le problème provenait de vulnérabilités dans la conception anti-fraude d’OP Stack dans la gestion des minuteries, ce qui a conduit le système anti-fraude d’OP Stack à ne pas améliorer les garanties de sécurité par rapport à la méthode reposant uniquement sur l’intervention d’urgence du conseil de sécurité.
Offchain Labs met en lumière les défis liés aux minuteries dans une conception anti-fraude
Offchain Labs a souligné que les minuteries représentent les aspects les plus complexes de la conception anti-fraude. Dans le jeu de défi, une partie adverse peut choisir de s'abstenir de prendre toute mesure, ce qui oblige le protocole à déclarer un temps mort pour un joueur qui ne répond pas à un moment donné. Au cours de ce laps de temps, le protocole est confronté au défi de discerner si le joueur est véritablement victime de censure ou s'il s'agit plutôt d'un mauvais acteur prétendant être censuré. Par conséquent, le protocole doit offrir aux joueurs honnêtes une flexibilité temporelle suffisante pour éviter les pertes dues à la censure tout en empêchant les joueurs malveillants de retarder indûment le protocole.
Dans le scénario Optimisme, auquel participent de nombreux joueurs, la gestion des crédits temps n'est pas simple.
Le déploiement initial du protocole OP sur le testnet était vulnérable aux attaques de traîtres de cette nature car il permettait à un traître d'acquérir un crédit de temps immérité. Cette vulnérabilité aurait pu permettre à un acteur malveillant de triompher dans un jeu anti-fraude qu'il aurait dû perdre, entraînant potentiellement l'acceptation d'un historique de chaîne frauduleux ou le rejet d'un historique de chaîne correct.
Optimism fonctionne comme une blockchain de couche 2 construite sur le réseau Ethereum, utilisant les fonctionnalités de sécurité du réseau principal Ethereum pour améliorer l'évolutivité au sein de l'écosystème Ethereum via des cumuls optimistes. L'OP Stack constitue la suite de logiciels qui pilotent Optimism, prenant actuellement en charge OP Mainnet et, à l'avenir, évoluant vers la superchaîne Optimism avec sa structure de gouvernance. Il est conçu comme une ressource publique bénéficiant à la fois aux écosystèmes Ethereum et Optimism.
Le poste Offchain Labs révèle la découverte de deux vulnérabilités critiques dans les preuves de fraude de la pile OP d'Optimism apparaît en premier sur Metaverse Post.