White-Hat-Hacker deckt kritischen Fehler in Scroll auf, Mitbegründer verteidigt Protokollsicherheit

White-Hat-Hacker Pawel Schabarkin eine kritische Sicherheitslücke im Ethereum Layer 2-Netzwerk öffentlich bekannt gegeben Scrollen über die Social-Media-Plattform X. Er behauptete, das Problem hätte die Blockchain lahmlegen und den Gesamtwert (TVL) um über 100 Millionen US-Dollar beeinträchtigen können. Trotzdem gelang es Scroll Berichten zufolge nicht, das Problem effektiv zu lösen.

Laut Pavel Shabarkin „könnte jeder Scroll L2 in eine in zwingendefiEine nächtliche Reorganisation, die die Kette anhält, sodass keine Benutzertransaktionen in Blöcken enthalten sind und die Kette nicht weiterläuft. Alle Gelder auf L2 werden eingefroren.“

Der Hacker äußerte sich auch unzufrieden mit Scrolls Reaktion auf das Problem. Das Projekt habe seinen Bericht heruntergespielt und keine sinnvolle Kommunikation betrieben, sondern stattdessen geschwiegen. Er wies außerdem darauf hin, dass Immunefi, die Plattform, die den Schwachstellenbericht bearbeitete, das Problem nicht korrekt klassifiziert habe, selbst nachdem er eine Neubewertung angefordert hatte. Daher beschloss Pavel Shabarkin, seine Ergebnisse öffentlich zu machen, um auf Scrolls offensichtlichen Mangel an Sicherheitsexpertise aufmerksam zu machen.

Das von Pavel Shabarkin gemeldete Problem birgt Risiken für das Scroll-Netzwerk. Es besteht die Möglichkeit, dass die Kette ohne Kosten für den Angreifer angehalten wird. Während des Angriffs bleiben Abhebungen blockiert, möglicherweise indefiendgültig, da der Angreifer den Stopp ohne Kosten aufrechterhalten kann. Diese Unterbrechung der Blockproduktion würde wichtige zeitkritische dezentrale Finanzsysteme verhindern (DeFi) Aktionen, wie das Hinzufügen von Geldern, um eine Liquidation zu vermeiden, oder die Aktualisierung von Oracle-Preisen, wodurch die Gelder der Benutzer einem erheblichen Risiko ausgesetzt sind. Darüber hinaus würde der Sequenzer keine Transaktionsgebühren mehr erheben, da keine Layer-2-Benutzertransaktionen in Blöcken enthalten sein könnten. Die Sicherheitslücke ist besonders besorgniserregend, da jeder mit Internetzugang den Angriff auslösen könnte, was ihn zu einer leicht zugänglichen Bedrohung macht.

Ye Zhang reagiert auf die Behauptungen des Hackers und stellt die Sicherheit des Scroll-Protokolls klar 

Ye Zhang, Mitbegründer von Scroll, erklärte daraufhin, dass die Behauptungen des Hackers auf einem grundlegenden Missverständnis der Funktionsweise des Protokolls beruhen. Insbesondere übersah der Hacker die leichte CCC-Prüfung, die der Sequenzer vor der Euclid-Upgrade .

Er betonte: „Der PoC hält nicht stand. Die Protokolle scheinen keine Reorgs anzuzeigen. Light CCC verfolgt bereits Precompile-Aufrufe und überspringt solche Transaktionen, ohne eine Reorg auszulösen.“

Ye Zhang betonte außerdem, dass Scroll sich für die Gewährleistung der Protokollsicherheit einsetze, über 1 Million US-Dollar in Audits investiert habe und die Beiträge von Whitehat-Hackern schätze. 

Scroll ist eine Ethereum Layer 2-Skalierungslösung, die Zero-Knowledge (ZK)-Rollups nutzt, um den Transaktionsdurchsatz zu verbessern, die Gasgebühren zu senken und die Sicherheit und Dezentralisierung von Ethereum zu wahren. Durch die Integration einer zkEVM (Zero-Knowledge Ethereum Virtual Machine) gewährleistet Scroll die vollständige Kompatibilität mit der bestehenden Ethereum-Infrastruktur und ermöglicht Entwicklern die Bereitstellung dezentraler Anwendungen (dApps), ohne ihren Code ändern zu müssen.