Offchain Labs révèle la découverte de deux vulnérabilités critiques dans les preuves de fraude de la pile OP d'Optimism
En bref
Offchain Labs a identifié deux vulnérabilités de sécurité dans le système anti-fraude Optimism mis en œuvre par OP Labs.
Entreprise de recherche et développement blockchain Laboratoires hors chaîne a révélé l'identification de deux vulnérabilités de sécurité sur le optimisme testnet. Les résultats ont été rapidement partagés avec Laboratoires OP, l'équipe responsable du développement du projet, le 22 mars. Ces vulnérabilités ont été identifiées dans le système anti-fraude Optimism mis en œuvre par OP Labs.
Offchain Labs a fourni à OP Labs un code d'exploitation de démonstration pour aider à l'identification et à la compréhension de ces problèmes de sécurité. Le 25 mars, OP Labs a vérifié la présence de ces problèmes et coordonné la divulgation des vulnérabilités avec Offchain Labs.
Conformément aux termes de l'accord entre les deux parties, Offchain Labs devait s'abstenir de divulguer publiquement la vulnérabilité jusqu'à ce qu'elle soit résolue. Le optimisme testnet a subi une mise à jour le 25 avril, permettant à l'entreprise de divulguer les failles de sécurité pour la première fois aujourd'hui.
Les vulnérabilités ont permis à des entités malveillantes de manipuler le mécanisme anti-fraude de Pile OP pour accepter un faux historique de chaîne ou l'empêcher d'accepter l'historique de chaîne correct. Le problème provenait de vulnérabilités dans la conception anti-fraude d'OP Stack dans la gestion des minuteries, ce qui a conduit le système anti-fraude d'OP Stack à ne pas améliorer les garanties de sécurité par rapport à la méthode reposant uniquement sur l'intervention d'urgence du conseil de sécurité.
Offchain Labs met en lumière les défis liés aux minuteries dans une conception anti-fraude
Offchain Labs a souligné que les minuteries représentent les aspects les plus complexes de la conception anti-fraude. Dans le jeu de défi, une partie adverse peut choisir de s'abstenir de prendre toute mesure, ce qui oblige le protocole à déclarer un temps mort pour un joueur qui ne répond pas à un moment donné. Au cours de ce laps de temps, le protocole est confronté au défi de discerner si le joueur est véritablement victime de censure ou s'il s'agit plutôt d'un mauvais acteur prétendant être censuré. Par conséquent, le protocole doit offrir aux joueurs honnêtes une flexibilité temporelle suffisante pour éviter les pertes dues à la censure tout en empêchant les joueurs malveillants de retarder indûment le protocole.
Dans le scénario Optimisme, auquel participent de nombreux joueurs, la gestion des crédits temps n'est pas simple.
Le déploiement initial du protocole OP sur le testnet était vulnérable aux attaques de traîtres de cette nature car il permettait à un traître d'acquérir un crédit de temps immérité. Cette vulnérabilité aurait pu permettre à un acteur malveillant de triompher dans un jeu anti-fraude qu'il aurait dû perdre, entraînant potentiellement l'acceptation d'un historique de chaîne frauduleux ou le rejet d'un historique de chaîne correct.
Optimism fonctionne comme une blockchain de couche 2 construite sur le réseau Ethereum, utilisant les fonctionnalités de sécurité du réseau principal Ethereum pour améliorer l'évolutivité au sein de l'écosystème Ethereum via des cumuls optimistes. L'OP Stack constitue la suite de logiciels qui pilotent Optimism, prenant actuellement en charge OP Mainnet et, à l'avenir, évoluant vers la superchaîne Optimism avec sa structure de gouvernance. Il est conçu comme une ressource publique bénéficiant à la fois aux écosystèmes Ethereum et Optimism.
Clause de non-responsabilité
En ligne avec la Lignes directrices du projet de confiance, veuillez noter que les informations fournies sur cette page ne sont pas destinées à être et ne doivent pas être interprétées comme des conseils juridiques, fiscaux, d'investissement, financiers ou toute autre forme de conseil. Il est important d’investir uniquement ce que vous pouvez vous permettre de perdre et de demander des conseils financiers indépendants en cas de doute. Pour plus d'informations, nous vous suggérons de vous référer aux conditions générales ainsi qu'aux pages d'aide et de support mises à disposition par l'émetteur ou l'annonceur. MetaversePost s'engage à fournir des rapports précis et impartiaux, mais les conditions du marché sont susceptibles de changer sans préavis.
A propos de l'auteur
Alisa, journaliste dévouée au MPost, se spécialise dans les crypto-monnaies, les preuves sans connaissance, les investissements et le vaste domaine de Web3. Avec un œil attentif sur les tendances et technologies émergentes, elle propose une couverture complète pour informer et impliquer les lecteurs dans le paysage en constante évolution de la finance numérique.
Plus d'articlesAlisa, journaliste dévouée au MPost, se spécialise dans les crypto-monnaies, les preuves sans connaissance, les investissements et le vaste domaine de Web3. Avec un œil attentif sur les tendances et technologies émergentes, elle propose une couverture complète pour informer et impliquer les lecteurs dans le paysage en constante évolution de la finance numérique.