Por que os hackers White Hat são vitais para o ecossistema de Cripto

No último fim de semana na ETHDenver,Jay Freemansubiu ao palco para destacar seu quaseConfira de bug de bilhões de dólares dentro do código CORE do Optimism, BOBA e METIS, que ele apelidou de " Optimism Desenfreado".

Freeman tem um histórico de desenvolvimento de software e hacking, notavelmente desempenhando um papel crítico no desenvolvimento de software para jailbreaking do iOS. Sua experiência provou ser inestimável dentro da indústria de Cripto de código aberto do Velho Oeste. Apenas duas semanas atrás, uma vulnerabilidade de contrato inteligente deixou o Ponte de buraco de minhoca com um buraco de 350 milhões de dólares para consertar – e isso T era o maior façanha da história recente. No entanto, Freeman mencionou que exploits de bridge geralmente são encontrados rapidamente, pois são usados com frequência e monitorados constantemente pelas equipes responsáveis por mantê-los.

Leia Mais: Jump Trading Backstops Wormhole Perda de US$ 320 milhões com Exploit

Durante a primeira semana de fevereiro, Freeman descobriu um bug crítico na máquina virtual do Optimism – um que os desenvolvedores talvez não estivessem prontos para corrigir tão rapidamente. O bug estava enraizado na máquina virtual do Optimism autodestruiçãofunção que permite que contratos sejam destruídos e envia qualquer saldo de ether restante para um endereço designado.

Parece perigoso, então por que os blockchains contêm oautodestruiçãofunção? A função permite que contratos obsoletos ou perigosos sejam removidos da cadeia enquanto retorna o saldo de ether ao proprietário legítimo.

A menos que haja um bug, é claro.

OtimismoautodestruiçãoA função retornou o saldo de ether para o endereço designado sem nunca queimar o saldo dentro de um contrato. De acordo com Freeman, “Isso significa que, quando um contrato se autodestrói, seu saldo é TANTO dado ao beneficiário quanto MANTIDO.” Se os invasores conseguissem chamar o contrato com sucesso, eles poderiam criar um loop que dobraria seu saldo de OETH até que fosse notado e corrigido pelos desenvolvedores do Optimism .

Freeman observou que não foi a primeira pessoa a encontrar o bug após escanear versões anterioresautodestruição apela ao Optimism e rastreia uma carteira de volta a um funcionário da Etherscan. O funcionário encontrou e testou o bug, mas aparentemente T entendeu a gravidade da situação e deixou para lá. A vulnerabilidade piorou com o tempo, à medida que mais fundos foram transferidos para o Optimism e outros sistemas de camada 2 copiaram o código que o Optimism havia implementado. As camadas 2 são redes complementares conectadas, mas funcionalmente separadas da camada base.

Consequentemente, Freeman observou que, se ele não tivesse encontrado o bug, uma vulnerabilidade de cunhagem teria permitido que um invasor dobrasse seus fundos toda vez que oautodestruiçãoa função também foi chamada em BOBA e METIS .

Chapéus brancos e DeFi

Mesmo que a equipe do Optimism tivesse notado e pausado temporariamente as transações de ponte por meio do sequenciador <a href="https://community.optimism.io/docs/protocol/sequencing/">Optimism</a> durante um ataque teórico, um invasor ainda poderia ter causado estragos nas Finanças descentralizadas de camada 2 (DeFi). Usando o OETH falsamente cunhado, qualquer invasor seria capaz de drenar as bolsas descentralizadas e explorar plataformas de empréstimo com garantias inúteis. A exploração provavelmente teria causado danos irreparáveis ​​no ecossistema Ethereum e os usuários da camada 2 poderiam ter todos os seus fundos tornados inúteis, sem ativos restantes na outra extremidade da ponte. Combinados, Optimism, BOBA e METIS tinham cerca de US$ 750 milhões bloqueados em DeFi no dia em que a vulnerabilidade foi relatada, quase todos em risco.

A necessidade de um adversarialismo amigável

Finanças descentralizadas continuam sendo uma indústria vulnerável com fundadores anônimos, código-fonte aberto e bilhões de dólares buscando assumir riscos. Essa enorme quantidade de capital criou um sistema de incentivos alinhado com equipes que constroem tokens rápidos e os liberam.

Leia Mais: O problema do anonimato do País das Maravilhas (e do DeFi)

Por outro lado, cautela e profissionalismo são muito menos empolgantes para traders e investidores. A economia mundial tem visto repetidamente o efeito da tomada incessante de riscos, embora o mercado eventualmente puna atalhos. Não há razão para pensar que esse mesmo resultado T continuará a acontecer em Cripto e Finanças descentralizadas, com apenas os protocolos mais meticulosos saindo vivos no final.

Freeman também contemplou onde fica o meio termo entre “Código é Lei” e confiança de terceiros. Ele levantou o ponto de que recompensas por bugs são essenciais para incentivar bons atores a procurar e encontrar vulnerabilidades. Ao definir a recompensa por ser um bom ator em uma escala semelhante à do pagamento por ser um mau ator, essa escala de repente inclina os incentivos para o white hatting.

Como Freedman disse, esse tipo de “adversário amigável” pode encorajar os participantes do ecossistema a serem mais abertos, honestos e até pessimistas em relação a novas ideias.

Esse pessimismo é fundamental. Hoje, o ambiente talvez esteja excessivamente otimista, deixando investidores e usuários de DeFi animados com protocolos que nunca poderiam funcionar ou que poderiam até ser perigosos. Essa falta de supervisão, combinada com a natureza do código-fonte aberto, cria o ambiente perfeito para hackers e golpistas, um problema que grande parte da indústria de Cripto não parece pronta para admitir.