区块链研发公司 Offchain Labs 披露了在 Optimism 测试网上发现的两个安全漏洞。3 月 22 日,该发现被及时分享给了负责该项目开发的团队 OP Labs。这些漏洞是在 OP Labs 实施的 Optimism 防欺诈系统中发现的。
Offchain Labs 向 OP Labs 提供了演示漏洞利用代码,以帮助识别和理解这些安全问题。3 月 25 日,OP Labs 验证了这些问题的存在,并与 Offchain Labs 协调了漏洞披露。
根据双方协议条款,Offchain Labs 必须避免公开披露该漏洞,直到该漏洞得到解决。Optimism 测试网于 4 月 25 日进行了更新,使该公司今天能够首次披露该安全漏洞。
该漏洞使恶意实体能够操纵 OP Stack 的防欺诈机制,以接受虚假的链历史或阻止其接受正确的链历史。该问题源于 OP Stack 的防欺诈设计在处理计时器时存在漏洞,导致 OP Stack 的防欺诈系统与仅依赖安全委员会紧急干预的方法相比无法提高安全保障。
Offchain Labs 揭示防欺诈设计中计时器面临的挑战
Offchain Labs 强调,计时器是防欺诈设计中最复杂的方面。在挑战游戏中,敌对一方可能会选择不采取任何行动,这导致协议需要在某个时刻为无响应的玩家宣布超时。在此时间间隔内,协议面临的挑战是辨别玩家是真正受到审查还是假装受到审查的坏人。因此,协议必须为诚实的玩家提供足够的时间灵活性,以防止因审查而造成的损失,同时也防止恶意玩家过度拖延协议。
在涉及乐观主义的场景中,由于涉及众多玩家参与,管理时间积分并不简单。
测试网上最初部署的 OP 协议容易受到这种性质的叛徒攻击,因为它允许叛徒获得不应得的时间信用。这种漏洞可能使恶意行为者在一场本应失败的防欺诈游戏中获胜,从而可能导致接受欺诈链历史或拒绝正确的链历史。
Optimism 是建立在以太坊网络上的第 2 层区块链,利用以太坊主网的安全功能通过 Optimism Rollups 提高以太坊生态系统的可扩展性。OP Stack 构成了驱动 Optimism 的软件套件,目前支持 OP 主网,未来将与其治理结构一起发展成为 Optimism 超级链。它旨在作为一种公共资源,造福以太坊和 Optimism 生态系统。
Offchain Labs 披露 Optimism OP Stack 欺诈证明中存在两个严重漏洞,该文章最先出现在 Metaverse Post 上。
