Le développeur de Cydia et du Jailbreak d’iOS, Jay Freeman, aussi connu sous le nom de Saurik, a dévoilé un bug qu’il a retrouvé dans le protocole de mise à l’échelle Layer-2 (L2) encore nommé Optimism. Ce bug, qui a été corrigé depuis, permettrait à un hacker de créer une quantité infinie de jetons.
Dans un article intitulé « Attaquer un Ethereum L2 avec un optimisme débridé » publié sur son blog, Freeman explique comment il a signalé un problème de sécurité critique aux développeurs de la solution de mise à l’échelle L2 Optimism. Pour information, la solution L2 d’Optimism permet aux utilisateurs de déplacer des Ethereum à un prix abordable. À titre de comparaison, les frais sont de 3,29 dollars par transaction pour la solution L1 et de 0,56 dollar pour déplacer de l’éther à l’aide d’Optimism.
L’exploitation du bug, surnommé « Unbridled Optimism » (« Optimisme débridé » en français, si nous pouvons le traduire ainsi) par Jay Freeman permet à l’attaquant d’avoir accès à un nombre effectivement illimité de jetons (tokens) et de répliquer de l’argent sur n’importe quelle chaîne. « Je suis d’avis que c’est plus dangereux que de simplement inciter les réserves à autoriser un retrait », précise le développeur de Cydia. Notre cher Saurik poursuit en expliquant :
« De plus, avec votre offre illimitée de jetons (tokens), vous pouvez vous rendre dans toutes les bourses décentralisées fonctionnant sur la L2 et gâcher leurs économies, en achetant de grandes quantités d’autres jetons tout en dévaluant la propre monnaie de la chaîne. En utilisant votre accès à un capital infini, vous pouvez encore manipuler les oracles de tarification en chaîne pour tirer parti d’autres attaques ; et, jusqu’à ce que quelqu’un réalise enfin que votre argent est contrefait, les arbitragistes afflueront vers le réseau pour vous vendre leurs actifs. »
Le bug d’Optimism L2 découvert par Jay Freeman fait suite à la multitude de piratages contre les « ponts interchaînes » et à la nouvelle inquiétude de la communauté concernant la sécurité de cette technologie en plein essor. Le développeur a indiqué sur Twitter qu’il a reçu une prime de 2 000 042 dollars pour avoir découvert et avoir divulgué le bug à l’équipe.
Toujours en rapport à la cryptomonnaie : Apple parle de cryptomonnaies et cherche un responsable du développement des affaires