Jay Freeman, Ethereum’un 2. katman ağlarından üçünde 750 milyon dolarlık potansiyel bir güvenlik açığının istismar edilmesini engelledi.

Geçtiğimiz hafta sonu ETHenver’da Jay Freeman, “Dizginsiz İyimserlik” adını verdiği İyimserlik, Boba ve Metis’in çekirdek kodundaki yaklaşık milyar dolarlık hata keşfini vurgulamak için sahne aldı.

Freeman, yazılım geliştirme ve bilgisayar korsanlığı geçmişine sahiptir, özellikle iOS’u jailbreak yapmak için yazılım geliştirmede kritik bir rol oynar. Deneyimi, açık kaynaklı kripto endüstrisi olan Vahşi Batı’da paha biçilemez olduğunu kanıtladı. Sadece iki hafta önce bir akıllı sözleşme güvenlik açığı, Wormhole köprüsünü onarılması gereken 350 milyon dolarlık bir boşlukla bıraktı ve bu, yakın tarihin en büyük istismarı bile değildi. Ancak Freeman, köprü açıklarının sıklıkla kullanıldığı ve bunların bakımından sorumlu ekipler tarafından sürekli olarak izlendiği için genellikle hızlı bir şekilde bulunduğunu belirtti.

Şubat ayının ilk haftasında Freeman, Optimism’in sanal makinesinde geliştiricilerin bu kadar çabuk düzeltmeye hazır olmayabilecekleri kritik bir hata keşfetti. Hata, Optimism’in sözleşmelerin yok edilmesini sağlayan ve kalan ether bakiyesini belirlenmiş bir adrese gönderen kendi kendini yok etme işlevinden kaynaklanıyordu.

Kulağa tehlikeli geliyor, peki neden blok zincirleri kendi kendini yok etme işlevini içeriyor? İşlev, eter bakiyesini hak sahibine geri verirken eski veya tehlikeli sözleşmelerin zincirden çıkarılmasına izin verir.

Tabii bir bug olmadıkça.

Optimism’in kendi kendini yok etme işlevi, bir sözleşme dahilindeki bakiyeyi yakmadan ether bakiyesini belirlenen adrese geri döndürdü. Freeman’a göre, “Bu, bir sözleşme kendi kendini imha ettiğinde, bakiyesinin HEM lehtara verildiği VE AYRICA TUTULDUĞU anlamına gelir.” Saldırganlar sözleşmeyi başarıyla çağırabilselerdi, Optimism geliştiricileri tarafından fark edilip yamalanana kadar OETH bakiyelerini ikiye katlayan bir döngü oluşturabilirlerdi.

Freeman, Optimism’deki önceki kendi kendini imha etme çağrılarını taradıktan ve bir cüzdanı bir Etherscan çalışanına kadar takip ettikten sonra hatayı bulan ilk kişi olmadığını kaydetti. Çalışan hatayı bulmuş ve test etmişti, ancak görünüşe göre durumun ciddiyetini anlamamış ve olmasına izin vermemişti. Optimism’e daha fazla kaynak aktarıldığından ve diğer katman 2 sistemleri Optimism’in yerleştirdiği kodu kopyaladığından, güvenlik açığı zamanla daha da kötüleşti. Katman 2’ler, birbirine bağlı ancak işlevsel olarak temel katmandan ayrı olan tamamlayıcı ağlardır.

Sonuç olarak, Freeman, hatayı bulamamış olsaydı, bir para basma güvenlik açığının, Boba ve Metis’te de kendi kendini yok etme işlevi her çağrıldığında bir saldırganın fonlarını ikiye katlamasına izin vereceğini belirtti.

Beyaz Şapkalar ve DeFi
Optimism ekibi teorik bir saldırı sırasında sıralayıcı aracılığıyla köprü işlemlerini fark edip geçici olarak duraklatmış olsa bile, bir saldırgan yine de 2. katman merkezi olmayan finansa (DeFi) zarar verebilirdi. Sahte olarak basılmış OETH’yi kullanan herhangi bir saldırgan, merkezi olmayan borsaları boşaltabilir ve gereksiz teminatlarla borç verme platformlarından yararlanabilir. Bu istismar, muhtemelen Ethereum ekosisteminde onarılamaz hasara neden olabilirdi ve 2. katman kullanıcıları, köprünün diğer ucunda hiçbir varlık kalmadan tüm fonlarını işe yaramaz hale getirebilirdi. Kombine, Optimism, Boba ve Metis, güvenlik açığının bildirildiği gün DeFi’de yaklaşık 750 milyon dolar kilitli kaldı ve neredeyse tamamı risk altındaydı.

Dostça düşmanlık ihtiyacı

Merkezi olmayan finans, anonim kurucuları, açık kaynak kodu ve risk almak isteyen milyarlarca doları ile savunmasız bir sektör olmaya devam ediyor. Bu muazzam miktardaki sermaye, hızlı bir şekilde oluşturan ve jetonları serbest bırakan ekiplerle uyumlu bir teşvik sistemi oluşturdu.

Tersine, dikkatlilik ve profesyonellik, tüccarlar ve yatırımcılar için çok daha az heyecan vericidir. Piyasa eninde sonunda kestirme yolları cezalandırsa da, dünya ekonomisi aralıksız risk almanın etkisini tekrar tekrar gördü. Aynı sonucun kripto ve merkezi olmayan finansta devam etmeyeceğini düşünmek için hiçbir sebep yok, sadece en titiz protokoller sonunda canlı çıkıyor.

Freeman ayrıca “Kod Kanundur” ile üçüncü taraf güveni arasındaki orta yolun nerede düştüğünü de düşündü. İyi oyuncuları güvenlik açıklarını bulmaya ve bulmaya teşvik etmede böcek ödüllerinin gerekli olduğu noktasını gündeme getirdi. İyi bir aktör olmanın ödülünü, kötü bir aktör olmanın ödülüne benzer bir ölçekte belirleyerek, bu ölçek, teşvikleri aniden beyaz şapkaya doğru eğiyor.

Freedman’ın belirttiği gibi, bu tür “dostça düşmanlık” ekosistem katılımcılarını yeni fikirler konusunda daha açık, dürüst ve hatta karamsar olmaya teşvik edebilir.

Bu kötümserlik anahtardır. Bugün, ortam belki de aşırı iyimser, yatırımcıları ve DeFi kullanıcılarını asla işe yaramayacak hatta tehlikeli olabilecek protokoller konusunda heyecanlandırıyor. Açık kaynak kodunun doğasıyla birleşen bu gözetim eksikliği, bilgisayar korsanları ve dolandırıcılar için mükemmel bir ortam yaratıyor, kripto endüstrisinin çoğunun kabul etmeye hazır olmadığı bir sorun.