Perché gli hacker white hat sono vitali per l'ecosistema Cripto

Lo scorso fine settimana all'ETHDenver,Il signor Jay Freemanè salito sul palco per sottolineare il suo quasiDa scoprire di un bug da miliardi di dollari all'interno del codice CORE di Optimism, BOBA e METIS, che lui ha soprannominato " Optimism sfrenato".

Freeman ha una storia di sviluppo software e hacking, in particolare ha svolto un ruolo fondamentale nello sviluppo di software per il jailbreaking di iOS. La sua esperienza si è dimostrata inestimabile nel selvaggio West, nell'industria Cripto open source. Solo due settimane fa una vulnerabilità di smart contract ha lasciato il Ponte del wormhole con un buco da 350 milioni di dollari da riparare – e T era nemmeno il il più grande exploit della storia recenteTuttavia, Freeman ha menzionato che gli exploit dei bridge vengono spesso scoperti rapidamente poiché vengono utilizzati spesso e monitorati costantemente dai team responsabili della loro manutenzione.

Continua a leggere: Jump Trading sostiene la perdita di 320 milioni di dollari di Wormhole

Durante la prima settimana di febbraio, Freeman ha scoperto un bug critico nella macchina virtuale di Optimism, ONE che gli sviluppatori potrebbero non essere stati pronti a correggere altrettanto rapidamente. Il bug era radicato nella macchina virtuale di Optimism. autodistruggersifunzione che consente di distruggere i contratti e di inviare l'eventuale saldo ether rimanente a un indirizzo designato.

Sembra pericoloso, quindi perché le blockchain contengono ilautodistruggersifunzione? La funzione consente di rimuovere dalla catena i contratti obsoleti o pericolosi restituendo il saldo ether al legittimo proprietario.

A meno che non ci sia un bug, ovviamente.

Ottimismoautodistruggersifunzione restituiva il saldo ether all'indirizzo designato senza mai bruciare il saldo all'interno di un contratto. Secondo Freeman, "Ciò significa che, quando un contratto si autodistrugge, il suo saldo viene SIA dato al beneficiario, SIA MANTENUTO". Se gli aggressori fossero in grado di chiamare con successo il contratto, potrebbero creare un loop che raddoppia il loro saldo OETH fino a quando non vengono notati e riparati dagli sviluppatori Optimism .

Freeman ha osservato che non è stata la prima persona a trovare il bug dopo aver scansionato i precedentiautodistruggersi chiama Optimism e traccia ONE portafoglio fino a un dipendente di Etherscan. Il dipendente aveva trovato e testato il bug, ma apparentemente T aveva capito la gravità della situazione e l'aveva lasciato stare. La vulnerabilità era peggiorata nel tempo man mano che più fondi venivano trasferiti a Optimism e altri sistemi di livello 2 copiavano il codice che Optimism aveva messo in atto. I livelli 2 sono reti di accompagnamento connesse ma funzionalmente separate dal livello di base.

Di conseguenza, ha osservato Freeman, se non avesse trovato il bug, una vulnerabilità di conio avrebbe consentito a un aggressore di raddoppiare i propri fondi ogni volta che ilautodistruggersila funzione è stata chiamata anche su BOBA e METIS .

Cappelli bianchi e DeFi

Anche se il team Optimism avesse notato e sospeso temporaneamente le transazioni bridge tramite il sequencer <a href="https://community.optimism.io/docs/protocol/sequencing/">https://community. Optimism.io/docs/protocol/sequencing/</a> durante un attacco teorico, un aggressore avrebbe comunque potuto causare danni alla Finanza decentralizzata di livello 2 (DeFi). Utilizzando l'OETH falsamente coniato, qualsiasi aggressore sarebbe stato in grado di prosciugare gli exchange decentralizzati e sfruttare le piattaforme di prestito con garanzie inutili. L'exploit avrebbe probabilmente causato danni irreparabili all'interno dell'ecosistema Ethereum e gli utenti di livello 2 avrebbero potuto vedere tutti i loro fondi resi inutili, senza risorse rimaste all'altra estremità del bridge. Insieme, Optimism, BOBA e METIS avevano circa 750 milioni di dollari bloccati in DeFi il giorno in cui è stata segnalata la vulnerabilità, quasi tutti a rischio.

La necessità di un amichevole avversario

La Finanza decentralizzata continua a essere un settore vulnerabile con fondatori anonimi, codice open source e miliardi di dollari che cercano di assumersi rischi. Questa enorme quantità di capitale ha creato un sistema di incentivi allineato con i team che costruiscono rapidamente e rilasciano token.

Continua a leggere: Il problema dell’anonimato di Wonderland (e DeFi)

Al contrario, cautela e professionalità sono molto meno eccitanti per trader e investitori. L'economia mondiale ha visto ripetutamente l'effetto di un'incessante assunzione di rischi, anche se il mercato alla fine punisce le scorciatoie. Non c'è motivo di pensare che questo stesso risultato T continuerà a verificarsi nella Finanza decentralizzata e Cripto , con solo i protocolli più meticolosi che ne usciranno vivi alla fine.

Freeman ha anche riflettuto su dove si collochi la via di mezzo tra "Code is Law" e la fiducia di terze parti. Ha sollevato il punto che i bug bounty sono essenziali per incentivare i buoni attori a cercare e trovare vulnerabilità. Impostando la ricompensa per essere un buon attore su una scala simile al pagamento per essere un cattivo attore, quella scala improvvisamente inclina gli incentivi verso il white hatting.

Come ha affermato Freedman, questo tipo di “amichevole avversarialismo” può incoraggiare i partecipanti all’ecosistema ad essere più aperti, onesti e persino pessimisti riguardo alle nuove idee.

Questo pessimismo è la chiave. Oggi, l'ambiente è forse eccessivamente ottimista, facendo entusiasmare investitori e utenti DeFi per protocolli che non potrebbero mai funzionare o potrebbero persino essere pericolosi. Questa mancanza di supervisione, unita alla natura del codice open source, crea l'ambiente perfetto per hacker e truffatori, un problema che gran parte del settore Cripto non sembra pronto ad ammettere.