Um hacker fugiu com US $ 2 milhões em recompensas por bugs depois de encontrar uma vulnerabilidade alarmante na rede Ethereum. Esse bug poderia ter sido muito ruim se tivesse sido encontrado por hackers de chapéu preto que poderiam ter explorado o ativo digital por bilhões de dólares em ETH. Em vez disso, um hacker de 'chapéu cinza' popularmente conhecido como Saurik informou a equipe do Ethereum sobre a vulnerabilidade, ganhando uma recompensa considerável em troca.
Encontrando a vulnerabilidade no Ethereum
O hacker Saurik encontrou a vulnerabilidade no Optimism, uma solução de rollup de camada 2 da Ethereum. O próprio hacker publicou um relatório sobre como encontrou a vulnerabilidade na solução. Examinando os protocolos de pagamentos nano no rollup, ele encontrou uma vulnerabilidade que poderia permitir que um invasor retirasse uma quantidade "praticamente ilimitada" de ETH da solução.
Leitura Relacionada | TA: Ethereum supera obstáculos, por que 100 SMA é a chave
Foi semelhante ao método de ataque implantado no popular blockchain de contratos inteligentes Solana, que resultou nos hacks de US$ 353 milhões no Wormhole. Otimismo, como Wormhole, cunham o que é conhecido como “Éter Envolvido”. Os usuários depositam seu Ether no contrato inteligente para servir basicamente como garantia e são mesmo esses tokens que só existem na rede da Optimism. Eles então usam o protocolo de pagamentos nano para tornar as transações mais rápidas e rápidas.
ETH recupera mais de US $ 3,100 | Fonte: ETHUSD em TradingView.com
Saurik, que é famoso por desenvolver o iOS com Jailbroken, confirmou a vulnerabilidade. No entanto, em vez de explorar a vulnerabilidade para seu próprio ganho pessoal, o hacker de chapéu cinza autodenominado havia relatado isso aos desenvolvedores do Optimism. Em troca, Saurik foi recompensado com uma recompensa de US$ 2 milhões por seu altruísmo, o que ajudou a tornar a rede e a camada 2 mais seguras para os usuários.
Desmascarando rumores populares
Depois que as notícias da vulnerabilidade e o subsequente pagamento da recompensa foram divulgados, circularam rumores sobre o que um invasor poderia ter feito com ele se optasse por não denunciá-lo aos desenvolvedores. O mais popular deles é que o invasor poderia retirar uma quantidade ilimitada de ETH da rede. Embora isso tenha algum mérito, é amplamente falso.
Em primeiro lugar, a vulnerabilidade existe em uma solução de rollup de camada 2 Optimism. Embora o protocolo exista na rede ethereum, não é a própria rede. Isso significa que a vulnerabilidade foi localizada apenas no protocolo. Portanto, embora um invasor pudesse explorar isso para retirar uma quantidade 'ilimitada' de ETH, ele só poderia retirar o saldo disponível no endereço do Optimism.
Leitura Relacionada | O Ethereum atingirá US $ 7 mil este ano? O painel do Finder diz que sim
No entanto, ainda não é segredo que os resultados teriam sido devastadores para os usuários do protocolo de camada 2 se um hacker de chapéu preto tivesse encontrado a vulnerabilidade. Este evento fala muito sobre a utilidade das recompensas de bugs. Embora as recompensas por essas recompensas possam parecer grandes demais no início, é preciso pensar em qual seria a alternativa se não houvesse incentivo para os hackers apresentarem suas descobertas. Sem dúvida, os hackers de chapéu branco ajudam a economizar milhões, se não bilhões, de dólares todos os anos.
Imagem em destaque do Gagadget, gráfico do TradingView.com
Fonte: https://www.newsbtc.com/news/ethereum/hacker-scoops-up-2-million-bounty-after-spotting-fatal-flaw-in-ethereum-rollup/