Firma badawczo-rozwojowa Blockchain Offchain Labs ujawniła identyfikację dwóch luk w zabezpieczeniach sieci testowej Optimism. Ustaleniami niezwłocznie podzielono się z OP Labs, zespołem odpowiedzialnym za rozwój projektu, 22 marca. Luki te zostały zidentyfikowane w odpornym na oszustwa systemie Optimism wdrożonym przez OP Labs.
Firma Offchain Labs zapewniła OP Labs demonstracyjny kod exploita, który miał pomóc w identyfikacji i zrozumieniu tych problemów związanych z bezpieczeństwem. 25 marca OP Labs zweryfikowało obecność tych problemów i skoordynowało ujawnienie luk z Offchain Labs.
Zgodnie z warunkami umowy pomiędzy obiema stronami firma Offchain Labs była zobowiązana do powstrzymania się od publicznego ujawniania tej luki do czasu jej rozwiązania. Sieć testowa Optimism przeszła aktualizację 25 kwietnia, dzięki czemu firma po raz pierwszy ujawniła luki w zabezpieczeniach.
Luki umożliwiły złośliwym podmiotom manipulowanie odpornym na oszustwa mechanizmem OP Stack w celu zaakceptowania fałszywej historii łańcucha lub uniemożliwienia mu zaakceptowania prawidłowej historii łańcucha. Problem wynikał z luk w zabezpieczeniach projektu OP Stack odpornego na oszustwa w obsłudze timerów, co doprowadziło do tego, że odporny na oszustwa system OP Stack nie poprawił gwarancji bezpieczeństwa w porównaniu z metodą polegającą wyłącznie na awaryjnej interwencji rady bezpieczeństwa.
Offchain Labs rzuca światło na wyzwania dzięki licznikom czasu w konstrukcji odpornej na oszustwa
Offchain Labs podkreśliło, że liczniki czasu stanowią najbardziej skomplikowane aspekty konstrukcji odpornej na oszustwa. W grze typu challenge strona przeciwna może zdecydować się na powstrzymanie się od podjęcia jakichkolwiek działań, co może skutkować koniecznością ogłoszenia w pewnym momencie protokołu przerwy dla niereagującego gracza. Podczas tego poklatkowego protokołu protokół staje przed wyzwaniem rozróżnienia, czy gracz rzeczywiście doświadcza cenzury, czy też jest złym aktorem udającym cenzurę. Dlatego protokół musi zapewniać uczciwym graczom odpowiednią elastyczność czasową, aby zapobiec stratom spowodowanym cenzurą, a jednocześnie zapobiegać niepotrzebnemu opóźnianiu protokołu przez złośliwych graczy.
W scenariuszu Optymizmu, w którym bierze udział wielu graczy, zarządzanie kredytami czasowymi nie jest proste.
Pierwotne wdrożenie protokołu OP w sieci testowej było podatne na ataki zdrajców tego rodzaju, ponieważ umożliwiało zdrajcy zdobycie niezasłużonego kredytu czasowego. Ta luka może umożliwić złośliwemu aktorowi triumf w odpornej na oszustwa grze, którą powinien był przegrać, co może skutkować akceptacją fałszywej historii łańcucha lub odrzuceniem prawidłowej historii łańcucha.
Optimism działa jako łańcuch bloków warstwy 2 zbudowany na sieci Ethereum, wykorzystując funkcje bezpieczeństwa sieci głównej Ethereum w celu zwiększenia skalowalności w ekosystemie Ethereum poprzez optymistyczne pakiety zbiorcze. OP Stack stanowi pakiet oprogramowania napędzającego Optimism, obecnie wspierający OP Mainnet, a w przyszłości ewoluujący w Optimism Superchain wraz ze strukturą zarządzania. Został zaprojektowany jako zasób publiczny, z którego będą korzystać zarówno ekosystemy Ethereum, jak i Optimism.
Post Offchain Labs ujawnia odkrycie dwóch krytycznych luk w dowodach oszustwa OP Stack Optymizmu pojawił się jako pierwszy w Metaverse Post.