Most Optimism obsługujący monetę prywatności BitBTC jest aktywnie wykorzystywany do 200 miliardów tokenów BitBTC.
Ze względu na techniczne aspekty hakowania zespół BitBTC ma teraz mniej niż 7 dni na wdrożenie aktualizacji, aby zminimalizować szkody.
Źle zaprojektowany most
Według lidera technicznego Arbitrum Lee Bousfielda na Twitter, narzeczona BitBTC zawierała „krytyczny exploit”, który pozostawił ją „trywialnie podatną na ataki”. Obejmuje to relację mostu między adresami warstwy 1 (L1) Ethereum a adresami warstwy 2 (L2) Optimism.
Jak wyjaśnił Bousfield, OptymizmStrona L2 mostka umożliwia użytkownikom wycofanie dowolnego tokena i wybranie adresu tokena L1, do którego przejdą tokeny po stronie L1 mostka.
Jednakże, gdy strona L1 wybija żetony mennic, po prostu ignoruje, który żeton został wycofany przez stronę warstwy 2 w pierwszej kolejności. Oznacza to, że atakujący może wybić własny bezwartościowy token na Optimism, ale ustawić swój adres tokena L1 na prawdziwy adres BitBTC L1.
„Następnie, gdy atakujący wycofuje swój złośliwy token przez most BitBTC, daje mu prawdziwe tokeny BitBTC na L1” – wyjaśnił Bousfield.
Kierownik techniczny dodał, że przeprowadzenie włamania zajmie siedem dni – pozostawiając twórcom okazję do załatania systemu, jeśli zostanie on wycelowany w exploit.
Niestety tak właśnie stało się w poniedziałek, gdy atakujący wycofał z systemu 200 miliardów fałszywych BitBTC. Wartość tych tokenów w dolarach jest niejasna, ponieważ BitBTC nie posiada publicznie dostępnych danych rynkowych.
„Zespół BitBTC ma 7 dni na naprawienie tego na L1!” ostrzegł Bousfielda.
Kierownik techniczny wyjaśnił, że błąd dotyczy wyłącznie BitBTC, a nie jest winą firmy Optimism. Powiedział również, że skontaktował się z zespołem BitBTC zarówno przed, jak i po wystąpieniu błędu, ale „nadal szuka oznak życia”.
Eksploatator twierdził, że jego atak ma na celu jedynie przetestowanie wektora ataku.
Błąd mostu Binance
W podobny sposób most Binance był: eksploatowany na początku tego miesiąca, pozwalając hakerowi wybić 2 miliony BNB (o wartości 500 milionów dolarów) z powietrza.
Mosty zostały zaprojektowane tak, aby umożliwić użytkownikom kryptograficznym przesyłanie swoich tokenów między różnymi łańcuchami bloków. Podczas gdy niektóre mosty używają systemów scentralizowanych/federacyjnych z zaufanymi stronami trzecimi do zarządzania mostem, inne używają bardziej złożonych systemów opartych na kodzie. Te ostatnie mogą być jednak podatne na błędy, które umożliwiają hakerom wypłatę nielegalnych środków.
Obecnie mosty blockchain są największymi ofiarami włamań do DeFi, rachunkowość za 2.5 miliarda dolarów utraconych aktywów.
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/hacker-withdraws-200-billion-fake-bitbtc-from-optimism-bridge/