Un pirate a découvert une vulnérabilité dans Optimism – et aurait pu créer un ETH illimité

• Le hacker et développeur Jay Freeman a découvert une dangereuse vulnérabilité Optimism début février
• Au lieu d’exploiter le bogue, Freeman l’a signalé et a reçu une récompense de 2,1 millions de dollars d’Optimism
• Les investisseurs des ETH ont eu de la chance : le bug s’est apparemment déclenché en décembre, mais son potentiel n’a pas été reconnu

Le 2 février 2022, le développeur – et hacker – Jay Freeman alias saurik, connu pour son app store de jailbreak Cydia, a découvert un bogue dans la solution de mise à l’échelle Optimism pour Ethereum (ETH). Il le rapporte sur son propre site Internet. Au lieu d’exploiter la vulnérabilité, il l’a signalée à Optimism et a reçu une récompense d’un million de dollars.

Optimism sert de protocole de nano-paiement pour Ethereum (ETH)

Optimism est un protocole de nano-paiement conçu pour simplifier le trading d’ETH : au lieu d’échanger les pièces directement sur la blockchain, les utilisateurs d’Optimism peuvent verrouiller leur véritable ether et vendre à la place une « copie » générée par Optimism (IOU). Cela peut être envoyé plus ou moins en temps réel et avec des frais de transaction nettement inférieurs. Si vous souhaitez échanger des reconnaissances de dette de votre propre possession contre de véritables ETH ou les faire payer, vous devez attendre une semaine. Ce concept est également appelé « mise à l’échelle de la couche 2 ».

Jay Freeman découvre un bug qui aurait pu dévaluer considérablement l’ETH

Cependant, lorsqu’il travaillait sur des protocoles de nanopaiement pour sa société Orchid, Freeman a remarqué un bogue dans le protocole Optimism : au lieu de supprimer la reconnaissance de dette lors du retour ou du déverrouillage des ETH d’origine, celle-ci restait en dehors de la chaîne prévue. En y regardant de plus près, le pirate a découvert que ces contrats intelligents individuels entre les investisseurs ETH et Optimism auraient pu être manipulés d’une certaine manière – alors cette erreur se serait déroulée en boucle continue et aurait émis des reconnaissances de dette illimitées, explique-t-il sur son site Web.

« Avec votre offre illimitée de reconnaissances de dette, vous pourriez [dann] aller dans tous les échanges décentralisés fonctionnant sur la L2 et gâcher leur économie en achetant de grandes quantités d’autres jetons tout en dévaluant la propre monnaie de la chaîne », a écrit Freeman sur son site Web.

L’optimisme récompense la sincérité de Freeman avec 2,1 millions de dollars

Cependant, au lieu d’utiliser le bug à ses propres fins, il l’a signalé à Optimism. En récompense, il a d’abord été payé environ deux millions de dollars américains, comme il le rapporte sur Twitter :

La semaine dernière, j’ai découvert (et signalé) un bogue critique (qui a été entièrement corrigé) dans @optimismPBC (une « solution de mise à l’échelle de couche 2 » pour Ethereum) qui aurait permis à un attaquant d’imprimer une quantité arbitraire de jetons, pour laquelle j’ai gagné une prime de 2 000 042 $. https://t.co/J6KOlU8aSW

– Jay Freeman (saurik) (@saurik) 10 février 2022

Quelques jours plus tard, Optimism a décidé d’augmenter à nouveau la récompense à un total de 2,1 millions de dollars.

Le bug a été déclenché en décembre

Selon Freeman, Optimism a maintenant fermé la faille de sécurité sur son site Web. Les investisseurs de l’ETH peuvent s’estimer chanceux : comme le rapporte le portail d’information t3n, un bogue similaire a frappé illégalement 184 milliards de Bitcoin (BTC) en 2010. Cela aurait également pu se produire avec ETH depuis Noël – selon Freeman, lorsque la vulnérabilité a été découverte dans Optimism, il est devenu évident que le bogue avait été déclenché en décembre, mais son potentiel n’était probablement pas reconnu et donc pas exploité.

Olga Rogler / Rédactrice finanzen.net

Sources des images : Sorapop Udomsri/shutterstock.com, Ponderful Pictures/Shutterstock.com