Un hacker scova un bug che permette di creare illimitati Ethereum: riceve ricompensa record

Nome all’anagrafe Jay Freeman, anche se per milioni di persone è semplicemente Saurik, il papà di Cydia, un gestore di pacchetti per iPhone jailbroken, oltre che uno dei più grandi sviluppatori di jailbreak per Android, nonché uno dei fondatori di Orchid. Ebbene Saurik torna a far parlare di sé.

Grazie a un post sul suo blog ha rivelato il nome di un bug, denominato “Ottimismo sfrenato“, che gli ha permesso di ricevere una ricompensa record: 2,1 milioni di dollari per aver scoperto una grave vulnerabilità nella soluzione di ridimensionamento di Ethereum Optimism.

Avrebbe potuto essere un miliardario con quel bug che permetteva di creare Ethereum illimitati, ha preferito cogliere due piccioni con una fava: rivelando la vulnerabilità ha accresciuto la sua fama, con tanto di una ingente somma di denaro.

Così l’uomo dal cappello grigio ha scovato un bug pericolosissimo per l’intero sistema

Il sedicente hacker dal “cappello grigio” aveva scoperto come ingannare la soluzione di ridimensionamento di Ethereum Optimism per stampare efficacemente Ether illimitati, all’inizio di questo mese. Galeotti i problemi avuti dal porta di Freemans, è proprio lì che Saurik ha scoperto il problema tecnico, mentre esaminava i cosiddetti “protocolli di pagamento nano“. Optimism è uno di questi protocolli, consentono agli utenti di inviare piccole quantità di criptovalute con piccole commissioni di transazione, anche se con compromessi di sicurezza.

Analogamente ai bridge blockchain come Wormhole, la piattaforma conia token Ether alternativi che esistono solo sulla rete di Optimism.

Gli utenti prima bloccano i loro ETH all’interno di uno smart contract come garanzia per ricevere i loro token, che raddoppiano come IOU. Questi token possono quindi essere scambiati in modo più rapido ed economico rispetto alle transazioni on-chain (quasi istantaneamente), il che rende Optimism una potenziale soluzione di “livello 2” (L2) per il ridimensionamento di Ethereum. Quando gli utenti di Optimism vogliono incassare i loro IOU, devono prima attendere una settimana prima che i loro token Ether “reali” vengano rilasciati.

Saurik ha scoperto un problema tecnico in una sezione del codice di Optimism che costringe i contratti intelligenti a cancellarsi e restituire l’Ether correlato al mittente. La funzione “Selfdestruct” di Optimism ha restituito criptovalute al mittente, ma ha mantenuto i relativi IOU Ether fuori catena. Questo bug potrebbe essere sfruttato per indurre gli smart contract a superare il problema tecnico, coniando così infinite criptovalute di “livello 2”.

L’Ether creato dal bug era contraffatto, così Saurik ha suggerito che potrebbe devastare il più ampio ecosistema crittografico. “Con la tua offerta illimitata di cambiali, potresti andare in ogni borsa decentralizzata in esecuzione sulla L2 e pasticciare con le loro economie – ha scritto l’hacker dal cappello grigio sul suo blog – acquistando grandi quantità di altri token e svalutando la valuta della catena“.

Questi difetti di sicurezza sono noti come bug di overflow. Nel 2010, quando i bitcoin emettevamo i primi vagiti, qualcuno era riuscito a sfruttare il codice per coniare 184 miliardi di BTC.

Ci è voluto un soft fork per resettare la blockchain e riportarla al suo limite hardcoded di 21 milioni di BTC, come intendeva Satoshi Nakamoto, il misterioso personaggio (potrebbe essere un uomo, una donna, un gruppo, chissà) che ha inventato la criptovaluta più famosa e ricercata al mondo. Stavolta niente soft fork, a risolvere il problema ci ha pensato Jay Freeman, per tutti Saurik.