في 10 فبراير ، نشر المطور المعروف لـ Cydia و iOS Jailbreak ، Jay Freeman ، والمعروف أيضًا باسم Saurik ، موضوعًا على
Twitter حول خطأ وجده في بروتوكول تحجيم الطبقة 2 (L2) المعروف باسم التفاؤل. وفقًا لفريمان ، كان من الممكن أن تسمح
الثغرة الأمنية ، التي تم تصحيحها ، للمهاجم بإنشاء عدد لا حصر له من الرموز المميزة.
يكتشف منشئ Cydia “Saurik” ضعف التفاؤل L2
جاي فريمان هو مطور برمجيات بارز معروف بأدوات iOS Jailbreak و Cydia. تم إصدار واجهة المستخدم الرسومية (GUI) من
Freeman’s Cydia في فبراير 2008 ، وهي تمنح المستخدمين الذين يستخدمون أجهزة iPhone jailbroken القدرة على تنزيل
برامج غير مصرح بها لنظام تشغيل الهواتف الذكية من Apple iOS. نشر فريمان مؤخرًا منشورًا على مدونة بعنوان “Attacking an
Ethereum L2 with Unbridled Optimism” ، والذي يشرح كيف أبلغ مطوري حل مقياس L2 التفاؤل عن مشكلة أمنية خطيرة.
يتيح حل L2 من Optimism للمستخدمين نقل الإيثيريوم مقابل جزء بسيط من التكلفة. في الوقت الحالي ، يمكن أن يكلف نقل
الأثير باستخدام التفاؤل 0.56 دولارًا لكل عملية تحويل بدلاً من رسوم الغاز L1 اليوم والتي تبلغ 3.29 دولارًا أمريكيًا لكل معاملة.
لمبادلة العملات المعدنية onchain باستخدام L1 ، سيكلف المستخدم 16.47 دولارًا في الأثير ، لكن استخدام التفاؤل لمبادلة
العملات سيكلف 0.83 دولارًا. أبلغ فريمان عن ثغرة التفاؤل في 2 فبراير 2022 وتم تصحيح الخطأ منذ ذلك الحين.
قال فريمان إن الهجوم كان سيسمح “للمهاجم بتكرار الأموال على أي سلسلة باستخدام مفترق” OVM 2.0 “الخاص به من go-
ethereum (والذي يسمونه l2geth). أوضح المطور كذلك أنه يخطط للحديث عن ثغرة التفاؤل في 18 فبراير في Ethdenver 2022.
كما حصل فريمان أيضًا على مكافأة قدرها 2000،042 دولارًا لاكتشافه الخطأ والكشف عنه للفريق. تصف مشاركة مدونة مهندس
البرمجيات كيف يمكن للمهاجم سكك كمية عشوائية من الرموز قبل تصحيح الخطأ.
كتب فريمان:
“الخطأ المعروض هنا – والذي أطلق عليه اسم” التفاؤل الجامح “- يمكن (بشكل فظ) تصميمه على أنه خطأ على الجانب الآخر
من” الجسر “. “ولكن في الواقع خطأ في الجهاز الظاهري الذي ينفذ العقود الذكية على التفاؤل. يؤدي استغلال ذلك إلى تمكين
المهاجم من الوصول إلى عدد غير محدود من الرموز (المعروف أيضًا باسم IOUs) على الجانب الآخر من الجسر. إن رأيي أن هذا
أكثر خطورة من مجرد خداع الاحتياطيات للسماح بالانسحاب “. وتابع المطور:
علاوة على ذلك ، مع إمدادك غير المحدود من سندات الدين ، يمكنك الذهاب إلى كل بورصة لامركزية تعمل على L2 والتلاعب باقتصاداتها ، وشراء كميات هائلة من الرموز المميزة الأخرى مع خفض قيمة عملة السلسلة الخاصة. باستخدام وصولك إلى رأس المال اللامتناهي ، يمكنك التلاعب بشكل أكبر بتسعير onchain للاستفادة من الهجمات الأخرى ؛ وحتى يدرك شخص ما أخيرًا أن أموالك مزيفة ، سيتدفق المراجعين إلى الشبكة لبيع أصولهم لك.
التشاؤم الذي يحيط بالتطبيقات عبر السلاسل
بالإضافة إلى الضعف الموجود في التفاؤل ، ناقش فريمان تقنية الجسر عبر السلاسل بتفصيل كبير. ذكر المطور أنه في نفس
اليوم الذي كشف فيه الخطأ للتفاؤل ، تعرض جسر Wormhole للهجوم. تطرق فريمان أيضًا إلى اختراق شبكة Poly Network في
منشوره. توضح مشاركة مدونة فريمان: “حتى عندما يسرق المتسللون الأموال من الجسر ، فإن التداعيات تكون محدودة”.
اكتشف فريمان خطأ التفاؤل في أعقاب عدد كبير من الاختراقات ضد الجسور عبر السلاسل وقلق المجتمع الجديد بشأن أمان
هذه التكنولوجيا الحديثة. تشير مشاركة مدونة مطور Cydia إلى مفاهيم مثل “سياسات التأمين” ضد عمليات اختراق العملات
المشفرة “. علاوة على ذلك ، ناقش المؤسس المشارك لشركة Ethereum (ETH) فيتاليك بوتيرين مؤخرًا المخاوف المرتبطة
بأمن منصات الجسور عبر السلسلة. “أنا متشائم بشأن التطبيقات عبر السلسلة” ، هذا ما صرح به موقع Reddit حديث لـ Buterin.