Optimizmo tiltas, palaikantis privatumo monetą BitBTC, aktyviai naudojamas 200 milijardų BitBTC žetonų.
Dėl įsilaužimo techninių priežasčių BitBTC komanda dabar turi mažiau nei 7 dienas atnaujinti atnaujinimą, kad sumažintų žalą.
Blogai suprojektuotas tiltas
Pasak Arbitrum technologijų vadovo Lee Bousfieldo Twitter, BitBTC nuotakoje buvo „kritinis išnaudojimas“, dėl kurio ji tapo „trivialiai pažeidžiama“. Tai apima tilto ryšį tarp Ethereum 1 sluoksnio (L1) adresų ir Optimizmo 2 sluoksnio (L2) adresų.
Kaip paaiškino Bousfieldas, Optimizmas's L2 tilto pusė leidžia vartotojams atsiimti bet kokį žetoną ir pasirinkti L1 žetono adresą, į kurį žetonai bus perduoti tilto L1 pusėje.
Tačiau kai L1 pusė kaldina žetonus, ji tiesiog ignoruoja, kurį žetoną išėmė 2 sluoksnio pusė. Tai reiškia, kad užpuolikas gali sukurti savo bevertį žetoną optimizmui, tačiau nustatyti savo L1 prieigos rakto adresą į tikrą BitBTC L1 adresą.
„Tada, kai užpuolikas atima savo kenkėjišką žetoną per BitBTC tiltą, jis suteikia jam tikrus BitBTC žetonus L1“, – paaiškino Bousfieldas.
Technologijų vadovas pridūrė, kad įsilaužimas užtruks septynias dienas, todėl kūrėjams paliekama galimybė pataisyti sistemą, jei būtų nukreiptas išnaudojimas.
Deja, būtent taip atsitiko pirmadienį, nes užpuolikas iš sistemos išėmė 200 milijardų netikrų BitBTC. Šių žetonų vertė doleriais neaiški, nes BitBTC neturi viešai prieinamų rinkos duomenų.
„BitBTC komanda turi 7 dienas, kad tai ištaisytų L1! perspėjo Bousfieldas.
Technikos vadovas paaiškino, kad klaida yra išskirtinė BitBTC, o ne optimizmo kaltė. Jis taip pat sakė, kad susisiekė su „BitBTC“ komanda prieš ir po to, kai įvyko klaida, tačiau „vis dar ieško gyvybės ženklų“.
Išnaudotojas teigė, kad jo ataka skirta tik išbandyti atakos vektorių.
Binance tilto klaida
Panašiai buvo ir Binance tiltas išnaudojamas anksčiau šį mėnesį, leisdamas įsilaužėliui iš oro nukalti 2 mln. BNB (500 mln. USD vertės).
Tiltai sukurti taip, kad kriptovaliutų vartotojai galėtų perkelti savo žetonus tarp skirtingų blokų grandinių. Kai kurie tiltai naudoja centralizuotas / susietas sistemas su patikimomis trečiosiomis šalimis, kad valdytų tiltą, kiti naudoja sudėtingesnes sistemas, pagrįstas kodu. Tačiau pastarieji gali būti linkę į klaidas, leidžiančias įsilaužėliams atsiimti neteisėtas lėšas.
Šiuo metu blokų grandinės tiltai yra didžiausios DeFi įsilaužimų aukos, apskaita už 2.5 milijardo dolerių prarasto turto.
„Binance Free“ 100 USD (išskirtinis): Naudokite šią nuorodą užsiregistruoti ir gauti 100 USD nemokamą ir 10% nuolaidą „Binance Futures“ pirmajam mėnesiui (sąlygos).
Specialus „PrimeXBT“ pasiūlymas: Naudokite šią nuorodą užsiregistruoti ir įvesti POTATO50 kodą, kad gautumėte iki 7,000 USD už savo indėlius.
Šaltinis: https://cryptopotato.com/hacker-withdraws-200-billion-fake-bitbtc-from-optimism-bridge/