¿Quién no ha soñado con ser el Rey Midas? ¿O encontrar un pozo repleto de oro que llegue al centro de la tierra? Así debió de sentirse Jay Freeman, un ingeniero de sofrtware estadounidense que utiliza el apodo de Saunik, y descubrió un error crítico " que habría permitido a un atacante imprimir una cantidad ilimitada de criptomonedas, por lo que gané una recompensa de 2 millones de dólares”.
Last week, I discovered (and reported) a critical bug (which has been fully patched) in @optimismPBC (a "layer 2 scaling solution" for Ethereum) that would have allowed an attacker to print arbitrary quantity of tokens, for which I won a $2,000,042 bounty. https://t.co/J6KOlU8aSW
— Jay Freeman (saurik) (@saurik) February 10, 2022
Pudo haberse convertido en uno de los hombres más ricos del planeta de haber aprovechado una falla de Ethereum, la criptomoneda con el nombre más desafortunado del mundo, que está creciendo a un ritmo desenfrenado. Y todo porque descubrió un agujero de seguridad en Optimism, una solución de segunda capa para Ethreum que trata de abordar los problemas de congestión y escalabilidad presentes en la red de contratos inteligentes, según revela Business Insider. Saurik se autodenomina 'hacker' de sombrero gris, es decir, un experto en ciberseguridad que puede arriesgarse a traspasar para investigar amenazas y vulnerabilidades pero que no lo hace con intención dañina.
Jay no está especializado en el ámbito cripto, su prestigio se cimenta en haber creado un software que permite descargar e instalar aplicaciones al margen de la App Store (Cydia) en los iPhone de Apple.
La vulnerabilidad que descubrió permitía a quien la detectara tener acceso a "una cantidad ilimitada" de tokens OETH, la versión Optimism de ethereum, una de las mayores criptomonedas del mercado que este miércoles cotiza a 3.184 dólares, y pese a esta noticia, ha incrementado su valoración en un 64%.
Los responsables del fallo han dado las gracias encarecidamente al hacker que ha sido recompensado con dos millones de dólares
El error consiste en un desbordamiento, un fallo de seguridad que permite a los atacantes eludir las defensas de la red. El desarrollador ha explicado que descubrió el fallo mientras realizaba una prospección en los llamados "nano protocolos de pago". Optimism, este curioso protocolo, permite a los usuarios enviar pequeñas cantidades de criptomonedas con pocas comisiones de transacción, aunque supuestamente ofrecía contrapartidas de seguridad. Lo malo es que, según descubrió Saurik, cualquiera que encontrara el fallo podría haber retirado una cantidad infinita de criptomonedas.
Según Atsit lo ocurrido solo es comparable. salvando las distancias, al método de ataque implementado en la popular cadena de bloques de contratos inteligentes Solana que sirvió para hackear en Wormhole más de 321 millones de dólares recientemente. El sistema Optimist , como Wormhole, acuña lo que se conoce como”éter envuelto”. Los usuarios depositan su Ether en un contrato denominado inteligente que sirve como garantía, y esos tokens solo existen en la red de Optimist. Y usan el protocolo de nanopagos para hacer transacciones cada vez más rápidas. Se acuñan tokens alternativos de ether que solo existen dentro en la red de Optimism. Los usuarios primero bloquean su ETH dentro del contrato inteligente como garantía para recibir sus tokens, que se duplican como garantía.
En su blog, Jay-Asik explica el proceso y los motivos que le impulsaron a no convertirse en multicriptomillonario: "¿Creemos de verdad que 'el código es la ley', y que si alguien encuentra un error que le permite llevarse 1.000 millones de dólares, el resto del mundo ( en referencia a sus colegas desarrolladores)) debería limitarse a pensar 'supongo que alguien cometió un error'? (...) Si es así, ¿cambia tu visión si no vas a beneficiarte personalmente, sino que vas a destruir un sistema que la gente estaba utilizando?".
Last week we patched a critical bug in the Optimism codebase, discovered by @saurik. Here’s our official disclosure and some of the lessons we learned.https://t.co/9DbR8QBYyw
— Optimism (@optimismPBC) February 10, 2022
Desde Optimism aseguran que el error se produjo cuando se activó el código 'SELFDESTRUCT' de operación en un contrato que tenía un saldo de ETH. Lo activó un empleado por error pero no tuvo consecuencias. Ya han encontrado una solución y añaden. "Estamos extremadamente agradecidos a los Hackers como Saurik por ayudar a mantener a Optimism a salvo", explican.