Компанія Offchain Labs, яка займається дослідженнями та розробкою блокчейну, оприлюднила виявлення двох вразливостей безпеки в тестовій мережі Optimism. Висновки були негайно передані OP Labs, команді, відповідальній за розробку проекту, 22 березня. Ці вразливості були виявлені в системі захисту від шахрайства Optimism, впровадженій OP Labs.
Offchain Labs надала OP Labs демонстраційний код експлойту, щоб допомогти в ідентифікації та розумінні цих проблем безпеки. 25 березня OP Labs перевірила наявність цих проблем і скоординувала розкриття вразливостей з Offchain Labs.
Згідно з умовами угоди між двома сторонами, Offchain Labs повинна була утримуватися від публічного розголошення вразливості, доки вона не буде усунена. Тестова мережа Optimism була оновлена 25 квітня, що дозволило компанії вперше розкрити вразливі місця в безпеці сьогодні.
Ці уразливості дозволили зловмисникам маніпулювати захищеним від шахрайства механізмом OP Stack, щоб прийняти помилкову історію ланцюжків або запобігти прийняттю правильної історії ланцюжків. Проблема виникла через уразливості в конструкції стійкої до шахрайства конструкції OP Stack під час обробки таймерів, що призвело до того, що система OP Stack, захищена від шахрайства, не змогла покращити гарантії безпеки порівняно з методом, який покладається виключно на екстрене втручання ради безпеки.
Offchain Labs проливає світло на проблеми з таймерами в дизайні, захищеному від шахрайства
Offchain Labs підкреслює, що таймери представляють найскладніші аспекти стійкого до шахрайства дизайну. У грі викликів суперницька сторона може відмовитися від будь-яких дій, що призведе до того, що в певний момент протоколу доведеться оголосити тайм-аут для гравця, який не відповідає. Під час цього проміжку часу протокол стикається з проблемою визначити, чи гравець справді відчуває цензуру, чи натомість він поганий актор, який прикидається цензурою. Таким чином, протокол має надавати чесним гравцям достатню гнучкість у часі, щоб запобігти втратам через цензуру, а також запобігти зловмисним гравцям надмірно затримувати протокол.
У сценарії з оптимізмом, який передбачає участь багатьох гравців, керування кредитами часу непросте.
Початкове розгортання протоколу OP у тестовій мережі було вразливим до атак зрадників такого характеру, оскільки це дозволяло зраднику отримати незаслужений кредит часу. Ця вразливість могла дозволити зловмиснику перемогти в захищеній від шахрайства грі, яку він мав програти, що потенційно призвело до прийняття шахрайської історії ланцюга або відхилення правильної історії ланцюга.
Optimism працює як блокчейн рівня 2, побудований на мережі Ethereum, використовуючи функції безпеки основної мережі Ethereum для підвищення масштабованості в екосистемі Ethereum за допомогою оптимістичних зведень. OP Stack являє собою набір програмного забезпечення, що керує Optimism, наразі підтримує OP Mainnet і в майбутньому перетвориться на Optimism Superchain разом зі своєю структурою управління. Він створений як загальнодоступний ресурс, який принесе користь екосистемам Ethereum і Optimism.
Публікація Offchain Labs виявила дві критичні вразливості в доказах шахрайства Optimism OP Stack вперше з’явилася на Metaverse Post.
