Фирма Offchain Labs, занимающаяся исследованиями и разработками в области блокчейна, сообщила об обнаружении двух уязвимостей безопасности в тестовой сети Optimism. Результаты были незамедлительно переданы OP Labs, команде, ответственной за разработку проекта, 22 марта. Эти уязвимости были обнаружены в системе защиты от мошенничества Optimism, внедренной OP Labs.
Offchain Labs предоставила OP Labs демонстрационный код эксплойта, который поможет выявить и понять эти проблемы безопасности. 25 марта OP Labs проверила наличие этих проблем и скоординировала раскрытие уязвимостей с Offchain Labs.
По условиям соглашения между двумя сторонами Offchain Labs была обязана воздерживаться от публичного раскрытия уязвимости до тех пор, пока она не будет устранена. 25 апреля тестовая сеть Optimism была обновлена, что позволило компании сегодня впервые раскрыть уязвимости безопасности.
Уязвимости позволяли злоумышленникам манипулировать механизмом защиты от мошенничества OP Stack, чтобы принять ложную историю цепочки или помешать ему принять правильную историю цепочки. Проблема возникла из-за уязвимостей в конструкции защиты от мошенничества OP Stack при обработке таймеров, что привело к тому, что система защиты от мошенничества OP Stack не смогла улучшить гарантии безопасности по сравнению с методом, основанным исключительно на экстренном вмешательстве совета безопасности.
Offchain Labs проливает свет на проблемы с таймерами в конструкции, защищенной от мошенничества
В Offchain Labs подчеркнули, что таймеры представляют собой наиболее сложные аспекты защиты от мошенничества. В игре-вызове противоборствующая сторона может предпочесть воздержаться от каких-либо действий, что приведет к тому, что в какой-то момент протоколу потребуется объявить тайм-аут для неотвечающего игрока. В течение этого периода времени протокол сталкивается с проблемой определения того, действительно ли игрок подвергается цензуре или вместо этого является плохим актером, притворяющимся, что подвергается цензуре. Таким образом, протокол должен предоставлять честным игрокам достаточную гибкость во времени, чтобы предотвратить потери из-за цензуры, а также не позволять злонамеренным игрокам неоправданную задержку протокола.
В сценарии с участием Оптимизма, в котором участвует множество игроков, управлять кредитами времени непросто.
Первоначальное развертывание протокола OP в тестовой сети было уязвимо для атак предателей такого рода, поскольку позволяло предателю получить незаслуженный кредит времени. Эта уязвимость могла позволить злоумышленнику одержать победу в защищенной от мошенничества игре, которую он должен был проиграть, что потенциально могло привести к принятию мошеннической истории цепочки или отклонению правильной истории цепочки.
Optimism работает как блокчейн уровня 2, построенный на сети Ethereum, используя функции безопасности основной сети Ethereum для повышения масштабируемости внутри экосистемы Ethereum посредством оптимистичных объединений. OP Stack представляет собой набор программного обеспечения, поддерживающего Optimism, в настоящее время поддерживающего OP Mainnet, а в будущем развивающегося в Superchain Optimism вместе со своей структурой управления. Он задуман как общедоступный ресурс, приносящий пользу экосистемам Ethereum и Optimism.
Сообщение Offchain Labs раскрывает обнаружение двух критических уязвимостей в доказательствах мошенничества в OP Stack компании Optimism. Впервые появилось на Metaverse Post.
