En Resumen
- Offchain Labs descubrió problemas de seguridad en la red de escalado de capa-2 Arbitrum, afectando su sistema de prevención de fraudes.
- La vulnerabilidad podría haber puesto en riesgo los fondos de los usuarios al permitir a actores malintencionados manipular el sistema.
- La intervención de Offchain Labs en Optimism destaca la importancia de la revisión de código en el desarrollo de redes de capa-2.
La competencia on-chain siempre está observando, pero a veces se verá obligada a ayudar.
Offchain Labs, el equipo principal detrás de la red de escalado de capa-2 de Ethereum, recientemente descubrió varios problemas de seguridad en una versión de prueba de la red de escalado de capa-2 Arbitrum, en una red de escalado de capa-2 separada de Ethereum creada por OP Labs.
Después de que se implementaron las correcciones, los problemas fueron detallados el viernes, según una publicación de blog publicada por el cofundador de Offchain Labs, Ed Felton. Dado que la vulnerabilidad potencial se encontró en el sistema de Optimism para impugnar transacciones potencialmente fraudulentas, podría haber sido aprovechada por actores malintencionados, explicó Felton.
“Creemos que si su protocolo actual se implementara en mainnet, pondría los fondos de los usuarios en un riesgo muy alto”, dijo Offchain Labs que le comunicó a OP Labs en un mensaje a finales de marzo, agregando que se había incluido “código de explotación de ejemplo” con fines informativos.
Arbitrum y Optimism son los llamados rollups de Ethereum, destinados a ofrecer costos de transacción más bajos para los usuarios al agrupar lotes de transacciones y luego transmitirlas a Ethereum en una forma procesada. Dentro de esa clase de soluciones de escalado, ambas Capa-2 se clasifican como rollups "optimistas", que asumen que todas las transacciones que procesan son legítimas.
Para evitar que actores malintencionados abusen de la naturaleza optimista de Arbitrum y Optimism, ambas redes utilizan pruebas de fraude. Efectivamente, el modelo de seguridad brinda a los participantes de la red una ventana para impugnar transacciones y verificar su validez a través de un proceso basado en reglas.
Los problemas identificados por Offchain Labs se referían al tiempo asignado para que los participantes "realicen un movimiento" para impugnar transacciones a través del sistema de prevención de fraudes de Optimism. Al abusar de ese tiempo a su favor, un actor malintencionado podría haber engañado al sistema para que aceptara un historial de cadena fraudulento, o para evitar que aceptara el historial de cadena correcto, según la publicación de Felton.
"El protocolo OP tal como se implementó originalmente en la red de prueba, era susceptible a ataques de traidores de este tipo porque permitía a un traidor obtener crédito de tiempo que no merecía", explicó. "El resultado fue que el sistema de prueba de fraude no mejoraba las garantías de seguridad".
La intervención de Offchain Labs con Optimism llega en un momento en que las capas 2 de Ethereum continúan haciendo un nuevo uso de “blobs”. Introducida en la última actualización de Ethereum, esta estructura de datos permite a las capas 2 ahorrar aún más en costos de transacción con un espacio dedicado y económico para publicar datos en Ethereum.
Desde una perspectiva de adopción, Optimism y Arbitrum son dos de las más grandes entre las capas 2 de Ethereum. Por ejemplo, según un tablero de control de Dune, Arbitrum y Optimism manejaron 1,7 millones y 600.000 transacciones el lunes, respectivamente. Mientras tanto, la red principal de Ethereum manejó 1,1 millones de transacciones.
Aunque los problemas de seguridad podrían haber causado dolores de cabeza a los usuarios en el futuro, al solucionarlos en la red de pruebas de Optimism nadie se vio afectado. Cuando se trata de capas 2 con arquitecturas comparables que se cuidan mutuamente, un portavoz de OP Labs le dijo a Decrypt que la reciente contribución de Offchain Labs seguía siendo muy valorada.
"Siempre agradecemos cuando los equipos se toman el tiempo para revisar nuestro código de red de pruebas", dijo el portavoz en un comunicado. "Es una parte crítica del proceso de desarrollo".
Editado por Ryan Ozawa.