La plateforme Optimism était proche de sombrer dans le pessimisme, suite à la découverte d’une faille critique. Créer de l’argent d’un simple clic – version moderne de la planche à billets – est un rêve pour beaucoup et un célèbre hacker a trouvé comment faire. Jay Freeman aurait pu faire plier Optimism, solution de seconde couche d’Ethereum, après avoir trouvé une faille béante. Elle permettait de générer des tokens ETH à l’infini, comme l’ont expliqué Jay Freeman et Optimism. Sur Twitter, Jay Freeman raconte comment il a découvert et signalé une faille qui aurait pu compromettre l’avenir du réseau Optimism.
Last week, I discovered (and reported) a critical bug (which has been fully patched) in @optimismPBC (a "layer 2 scaling solution" for Ethereum) that would have allowed an attacker to print arbitrary quantity of tokens, for which I won a $2,000,042 bounty. https://t.co/J6KOlU8aSW
— Jay Freeman (saurik) (@saurik) February 10, 2022
Une récompense de 2 millions de dollars
Si son nom ne vous dit rien, Jay Freeman est aussi le développeur à l’origine de Cydia. Cette boutique non officielle pour iOS est une alternative à l’App Store sur l’iPhone ; elle est particulièrement appréciée des amateurs de jailbreak. Face à la gravité de la faille, celui qui se fait appeler Saurik a obtenu une récompense de 2 000 042 dollars. Une coquette somme qui évite cependant à Optimism de connaître des heures plus sombres. La plateforme a d’ailleurs remercié le développeur et revient sur l’incident dans un billet de blog.
We’re incredibly thankful to saurik for spending so much time analyzing our protocol over the year–enough to find such an important fix! We highly recommend you check out his in-depth breakdown. We'll award the full $2,000,042 promised in our bug bounty. https://t.co/536XK2Bfa5 pic.twitter.com/p8PZujKaDg
— Optimism (✨🔴_🔴✨) (@optimismFND) February 10, 2022
Elle confirme avoir été alertée dès le 2 février de l’existence d’un bug critique ; permettant de créer un nombre infini d’ETH. Après vérification, elle ajoute que la faille n’a pas été exploitée et qu’elle a pu être corrigée. « Nous avons également alerté plusieurs forks [dérivés d’Optimism] et fournisseurs de ponts [bridge] Optimism vulnérables de la présence du problème. Ces projets ont tous appliqué la correction requise », ajoute la plateforme. En retour, elle a donc accordé la prime maximale de son programme de bug Bounty à Jay Freeman. « Nous sommes extrêmement reconnaissants envers les hackers comme saurik qui contribuent à la sécurité d’Optimism », ajoute-t-elle.
« Chaque ligne de code compte », rappelle Optimism
La plateforme conclue en expliquant que cet événement est l’occasion de réfléchir sur elle-même et de voir le point sur les pistes d’amélioration. Optimism explique que la « décentralisation engendre la complexité » ; et que ce bug provient de « modification apportée à la base du code de go-ethereum ». Enfin, cette affaire rappelle une fois de plus l’importance des programmes de récompenses de prime aux bogues (bug bounty). Pour Optimism, ils sont une « nécessité ».
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Elle existe encore …