Offchain Labs a trouvé des bugs dans le système de litige proposé par Optimism.
Les développeurs ont détecté deux vulnérabilités dans le testnet d’Optimism, le deuxième plus grand Ethereum Layer 2 en termes d’actifs.
Les membres d'Offchain Labs, la société qui construit Ethereum Layer 2 Arbitrum, ont déclaré aujourd'hui avoir trouvé les bogues dans les preuves de fraude d'Optimism lors d'une implémentation de testnet.
"Nous avons trouvé plusieurs attaques critiques qui compromettent la sécurité et la vivacité du système de règlement des différends proposé par Optimism." écrit Raul Jordan, ingénieur en systèmes distribués pour Offchain Labs. "Les attaques permettent à une partie malveillante de faire accepter en chaîne une réclamation frauduleuse ou de vaincre la partie honnête."
L'équipe Optimisme a affirmé Valérie Plante. sur X après qu'Offchain Labs ait divulgué leurs conclusions, ils sont « heureux d'annoncer » qu'aucune vulnérabilité critique capable de contourner les mécanismes de sécurité n'a été signalée lors d'un audit avec la société de sécurité blockchain Sherlock.
Ils ont cependant adressé un merci spécial à l'équipe d'Offchain Labs pour avoir signalé les deux vulnérabilités avant le début du concours d'audit Sherlock.
Optimism n'a pas immédiatement répondu à une demande de commentaire de The Defiant.
Dans l'un des vecteurs d'attaque, l'attaquant peut attendre la dernière seconde, agir et gagner un différend, a expliqué Jordan sur X aujourd'hui. La dernière attaque est l’épuisement des ressources, ce qui rend très difficile la défense réussie des parties honnêtes, même si cela était déjà publiquement connu.
Le jeton OP natif d'Optimism a chuté de 4.8% aux nouvelles d'aujourd'hui. OP a connu un mois lamentable, perdant près de 40 % de son prix, changeant de mains actuellement pour 2.32 $, tandis qu'Ethereum a perdu 10 % au cours de la même période.
Le réseau affiche une capitalisation boursière de 2.4 milliards de dollars et une valeur totale verrouillée (TVL) de 879 millions de dollars selon DefiLlama.
Pourtant, l’optimisme regorge d’activité ces derniers mois. Le 18 avril, l'équipe a offert 22 millions de dollars de subventions aux efforts de Superchain, une pile technologique basée sur l'optimisme ; le lendemain du lancement par Worldcoin d'une blockchain de couche 2 basée sur Optimism ; le réseau a largué 40 millions de dollars aux artistes et créateurs le 22 février et, le 13 février, il a mis en place un conseil de sécurité dans le cadre d'une démarche vers une décentralisation progressive.
Un article de blog de l'équipe Offchain Labs explique qu'ils ont divulgué les deux « vulnérabilités graves » à l'équipe OP Labs, qui a demandé que l'information reste hors de la vue du public jusqu'à ce qu'elle soit correctement traitée.
Selon Ed Felten, co-fondateur d'Offchain Labs, les vulnérabilités ont permis à une partie malveillante de forcer le mécanisme de preuve de fraude OP Stack à accepter un historique de chaîne frauduleux, ou d'empêcher le mécanisme de preuve de fraude OP Stack d'accepter un historique de chaîne correct.
Les problèmes provenaient de défauts dans la façon dont la conception anti-fraude OP gère les minuteries.
Felten, qui a écrit le billet de blog, a ajouté que les protocoles anti-fraude et leurs aspects temporels sont très difficiles à concevoir ; ce dernier est considéré comme l'un des aspects les plus subtils du processus de conception.
"Nous nous sommes coordonnés en étroite collaboration avec l'équipe OP Labs sur cette divulgation", posté le compte Offchain Labs X le 26 avril. "Nous faisons tous partie de l'équipe Ethereum et sommes heureux de prêter des ressources pour rendre Ethereum plus sûr pour tout le monde."
Source : https://thedefiant.io/news/blockchains/two-vulnerabilities-caught-in-optimism-testnet