2 miliony dolarů za nalezení chyby na Ethereu

V posledních týdnech hodně slýcháme o white hat hackerech, kdo to vlastně jsou a jak jeden white hat hacker pomohl známému Ethereu ?

Není žádným tajemstvím, že svět kryptoměn je pod neustálým tlakem hackerů, kteří hledají různé zranitelnosti, jež pak zneužívají ke svému obohacení. Na vlastní kůži se o tom přesvědčili nejen běžní uživatelé, ale i největší kryptoměnové projekty a společnosti. Za několik let fungování kryptoměn byly tímto způsobem ukradeny miliardy dolarů. Naštěstí jsou mezi hackery i tací, kteří své dovednosti využívají ve prospěch společnosti - říkáme jim white hat hackeři.

Zranitelnost 2. vrstvy Etherea v hodnotě milionů

Rozdíl v činnosti black hat ("zlých") a white hat ("dobrých") hackerů je v zásadě velmi jednoduchý. White hat hacker po nalezení chyby v systému nepřemýšlí o tom, jak jejím prostřednictvím ukrást cizí zdroje, místo toho chybu nahlásí příslušné společnosti. Proč by to hacker dělal? Je to prostě jeho práce, za kterou dostává odměny, jejich běžnou formou jsou tzv. bounty. Ty nabízí společnost, která vlastní samotný software, ve snaze zabránit zneužití zranitelností systému někým, kdo by mohl způsobit mnohem větší škody nelegální činností.

Přesně takto padla jedna z největších odměn v síti Ethereum teprve nedávno. Hacker známý jako Saurik (Jay Freeman) objevil chybu v řešení vrstvy 2 Etherea nazvaném Optimism. Zjistil to při kontrole záznamů nano plateb a byl to opravdu velký problém. Pokud by tuto chybu objevil někdo se zlými úmysly, znamenalo by to pro Optimismus katastrofu. Zranitelnost umožňovala potenciálnímu útočníkovi "vyrobit" prakticky neomezené množství ETH. Jednalo se o velmi podobnou formu útoku, jaká byla nedávno použita proti populárnímu blockchainu Solana, při kterém bylo ztraceno 353 milionů dolarů. Optimism funguje tak, že vydává takzvané zabalené ETH - uživatel nahraje ETH do chytrého kontraktu a ten vydá zabalené ETH, které lze následně použít v dané síti.

Oprava byla rychlá a rozhodně nemůžeme vinit samotné Ethereum.

Optimismus uvedl, že chyba byla objevena na začátku tohoto měsíce a téměř okamžitě opravena stejným vývojářem. Saurik tak získal odměnu přesně 2 000 042 dolarů. Téměř okamžitě se však začalo spekulovat o tom, kolik by mohl vydělat, kdyby chybu nenahlásil nebo kdyby zranitelnost našel někdo jiný. Určitě by to byly miliardy dolarů, a hlavně obrovský problém pro projekt.

Je však třeba říci, že za chybu nemůžeme vinit Ethereum, protože ji vytvořili vývojáři Optimism a nemá nic společného s hlavním řetězcem. Útočník tak mohl vytvořit prakticky neomezené množství zabalených ETH, ale zpět na hlavní řetězec mohl dostat "pouze" hodnotu uzamčenou v chytrém kontraktu Optimism. V samostatném příspěvku na blogu tým Optimism uvedl, že historie jejich řetězce prokázala, že zranitelnost nebyla zneužita. Zdá se, že z pohledu hackera by bylo nejlogičtější ukrást co nejvíce finančních prostředků prostřednictvím chyby. Takové prostředky je však velmi obtížné použít, zejména ve světě kryptoměn, kde je jakákoli aktivita zaznamenána ve veřejně dostupném blockchainu. Na druhou stranu odměna představuje čisté peníze, které si majitel může užívat podle svého uvážení. Celá událost plně ukázala význam odměn, které se mohou zdát astronomicky vysoké, ale v případě jako je tento mohou zachránit celý projekt a miliardy dolarů. Potenciální škody by tak byly mnohem větší než milionová odměna.

Zdroje: http://newsbtc.com, http://techstory.in