A empresa de pesquisa e desenvolvimento Blockchain Offchain Labs divulgou a identificação de duas vulnerabilidades de segurança na testnet Optimism. As descobertas foram prontamente compartilhadas com o OP Labs, equipe responsável pelo desenvolvimento do projeto, no dia 22 de março. Essas vulnerabilidades foram identificadas no sistema à prova de fraude Optimism implementado pelo OP Labs.

Offchain Labs forneceu ao OP Labs um código de exploração de demonstração para ajudar na identificação e compreensão dessas preocupações de segurança. No dia 25 de março, o OP Labs verificou a presença desses problemas e coordenou a divulgação das vulnerabilidades com o Offchain Labs.

De acordo com os termos do acordo entre as duas partes, a Offchain Labs foi obrigada a abster-se de divulgar publicamente a vulnerabilidade até que esta fosse resolvida. A testnet Optimism passou por uma atualização em 25 de abril, permitindo à empresa divulgar as vulnerabilidades de segurança pela primeira vez hoje.

As vulnerabilidades permitiram que entidades maliciosas manipulassem o mecanismo à prova de fraude do OP Stack para aceitar o histórico da cadeia falso ou impedi-lo de aceitar o histórico da cadeia correto. O problema originou-se de vulnerabilidades no design à prova de fraude do OP Stack no manuseio de temporizadores, fazendo com que o sistema à prova de fraude do OP Stack não conseguisse melhorar as garantias de segurança em comparação com o método que depende apenas da intervenção de emergência do conselho de segurança.

Offchain Labs esclarece desafios com temporizadores em design à prova de fraude

Offchain Labs enfatizou que os temporizadores representam os aspectos mais complexos do design à prova de fraude. No jogo de desafio, uma parte adversária pode optar por abster-se de realizar qualquer ação, fazendo com que o protocolo precise declarar um tempo limite para um jogador que não responde em algum momento. Durante esse lapso de tempo, o protocolo enfrenta o desafio de discernir se o jogador está genuinamente sofrendo censura ou se é um mau ator que finge ser censurado. Portanto, o protocolo deve proporcionar aos jogadores honestos flexibilidade de tempo adequada para evitar perdas devido à censura, ao mesmo tempo que evita que jogadores mal-intencionados atrasem indevidamente o protocolo.

No cenário que envolve o Otimismo, que envolve a participação de vários jogadores, gerenciar os créditos de tempo não é simples.

A implantação original do protocolo OP na testnet era vulnerável a ataques de traidores desta natureza porque permitia que um traidor adquirisse crédito de tempo imerecido. Esta vulnerabilidade poderia ter permitido que um ator mal-intencionado triunfasse em um jogo à prova de fraude que deveria ter perdido, resultando potencialmente na aceitação de um histórico de cadeia fraudulento ou na rejeição de um histórico de cadeia correto.

O Optimism opera como um blockchain de Camada 2 construído na rede Ethereum, utilizando os recursos de segurança da rede principal Ethereum para aumentar a escalabilidade dentro do ecossistema Ethereum por meio de rollups otimistas. O OP Stack constitui o conjunto de software que impulsiona o Optimism, atualmente apoiando o OP Mainnet e, no futuro, evoluindo para a Superchain do Optimism junto com sua estrutura de governança. Ele foi projetado como um recurso público para beneficiar os ecossistemas Ethereum e Optimism.

A postagem Offchain Labs revela a descoberta de duas vulnerabilidades críticas nas provas de fraude do OP Stack do Optimism apareceu pela primeira vez no Metaverse Post.