區塊鏈研發公司 Offchain Labs 披露了在 Optimism 測試網上發現的兩個安全漏洞。3 月 22 日,該發現被及時分享給了負責該項目開發的團隊 OP Labs。這些漏洞是在 OP Labs 實施的 Optimism 防欺詐系統中發現的。
Offchain Labs 向 OP Labs 提供了演示漏洞利用代碼,以幫助識別和理解這些安全問題。3 月 25 日,OP Labs 驗證了這些問題的存在,並與 Offchain Labs 協調了漏洞披露。
根據雙方協議條款,Offchain Labs 必須避免公開披露該漏洞,直到該漏洞得到解決。Optimism 測試網於 4 月 25 日進行了更新,使該公司今天能夠首次披露該安全漏洞。
該漏洞使惡意實體能夠操縱 OP Stack 的防欺詐機制,以接受虛假的鏈歷史或阻止其接受正確的鏈歷史。該問題源於 OP Stack 的防欺詐設計在處理計時器時存在漏洞,導致 OP Stack 的防欺詐系統與僅依賴安全委員會緊急干預的方法相比無法提高安全保障。
Offchain Labs 揭示防欺詐設計中計時器面臨的挑戰
Offchain Labs 強調,計時器是防欺詐設計中最複雜的方面。在挑戰遊戲中,敵對一方可能會選擇不採取任何行動,這導致協議需要在某個時刻爲無響應的玩家宣佈超時。在此時間間隔內,協議面臨的挑戰是辨別玩家是真正受到審查還是假裝受到審查的壞人。因此,協議必須爲誠實的玩家提供足夠的時間靈活性,以防止因審查而造成的損失,同時也防止惡意玩家過度拖延協議。
在涉及樂觀主義的場景中,由於涉及衆多玩家參與,管理時間積分並不簡單。
測試網上最初部署的 OP 協議容易受到這種性質的叛徒攻擊,因爲它允許叛徒獲得不應得的時間信用。這種漏洞可能使惡意行爲者在一場本應失敗的防欺詐遊戲中獲勝,從而可能導致接受欺詐鏈歷史或拒絕正確的鏈歷史。
Optimism 是建立在以太坊網絡上的第 2 層區塊鏈,利用以太坊主網的安全功能通過 Optimism Rollups 提高以太坊生態系統的可擴展性。OP Stack 構成了驅動 Optimism 的軟件套件,目前支持 OP 主網,未來將與其治理結構一起發展成爲 Optimism 超級鏈。它旨在作爲一種公共資源,造福以太坊和 Optimism 生態系統。
Offchain Labs 披露 Optimism OP Stack 欺詐證明中存在兩個嚴重漏洞,該文章最先出現在 Metaverse Post 上。
