Хакер вилучив 200 мільярдів підроблених BitBTC з Optimism Bridge

Міст Optimism, що підтримує монету конфіденційності BitBTC, активно використовується для 200 мільярдів токенів BitBTC. 

Через технічні особливості злому у команди BitBTC тепер є менше 7 днів, щоб запровадити оновлення, щоб мінімізувати збитки.

Погано спроектований міст

За словами технічного керівника Arbitrum Лі Боусфілда Twitter, BitBTC bride містив «критичний експлойт», який зробив його «тривіально вразливим». Він передбачає зв’язок мосту між адресами рівня 1 (L1) Ethereum і адресами рівня 2 (L2) Optimism. 

Як пояснив Боусфілд, ОптимізмСторона L2 мосту дозволяє користувачам вилучити будь-який маркер і вибрати адресу маркера L1, до якої будуть проходити маркери на стороні L1 мосту. 

Однак, коли сторона L1 карбує жетони, вона просто ігнорує, який жетон був вилучений стороною рівня 2 в першу чергу. Це означає, що зловмисник може викарбувати власний нікчемний токен на Optimism, але встановити його адресу токена L1 на справжню адресу L1 BitBTC. 

«Потім, коли зловмисник вилучає свій шкідливий токен через міст BitBTC, він дає йому справжні токени BitBTC на L1», — пояснив Боусфілд. 

Технічний керівник додав, що на злом знадобиться сім днів, залишаючи вікно можливостей для розробників виправити систему, якщо експлойт стане ціллю. 

На жаль, саме це сталося в понеділок, коли зловмисник вилучив із системи 200 мільярдів підроблених BitBTC. Доларова вартість цих токенів незрозуміла, оскільки BitBTC не має загальнодоступних ринкових даних. 

«Команда BitBTC має 7 днів, щоб виправити це на L1!» — попередив Боусфілд.

Технічний керівник пояснив, що помилка стосується виключно BitBTC, а не вини Optimism. Він також сказав, що зв’язувався з командою BitBTC як до, так і після помилки, але «досі шукає ознаки життя».

Експлуататор стверджував, що його атака має на меті лише перевірити вектор атаки. 

Помилка Binance Bridge

Подібним чином був Binance bridge експлуатований на початку цього місяця, дозволивши хакеру викарбувати BNB на 2 мільйони доларів (вартістю 500 мільйонів доларів) з повітря. 

Місти розроблені, щоб дозволити користувачам криптовалюти передавати свої токени між різними блокчейнами. Хоча деякі мости використовують централізовані/об’єднані системи з довіреними третіми сторонами для керування мостом, інші використовують більш складні системи, засновані на коді. Однак останній може бути схильний до помилок, які дозволяють хакерам виводити незаконні кошти. 

Наразі блокчейн-мости стали найбільшими жертвами хакерів DeFi, бухгалтерський облік за 2.5 мільярда доларів втрачених активів.