Optimisma tilts, kas atbalsta privātuma monētu BitBTC, tiek aktīvi izmantots 200 miljardiem BitBTC žetonu.
Uzlaušanas tehnisko iemeslu dēļ BitBTC komandai tagad ir mazāk nekā 7 dienas, lai ieviestu jauninājumu, lai samazinātu bojājumus.
Slikti projektēts tilts
Saskaņā ar Arbitrum tehnoloģiju vadītāju Lī Bousfīldu TwitterBitBTC līgava saturēja "kritisku izmantošanu", kas to padarīja "triviāli neaizsargātu". Tas ietver tilta attiecības starp Ethereum 1. slāņa (L1) adresēm un Optimisma 2. slāņa (L2) adresēm.
Kā paskaidroja Bousfield, optimismsTilta L2 puse ļauj lietotājiem izņemt jebkuru marķieri un izvēlēties L1 marķiera adresi, uz kuru tiks nosūtīti marķieri tilta L1 pusē.
Tomēr, kad L1 puse izgatavo žetonus, tā vienkārši ignorē to, kuru marķieri vispirms izņēma 2. slāņa puse. Tas nozīmē, ka uzbrucējs var izveidot savu nevērtīgo marķieri optimismam, tomēr iestatīt tā L1 marķiera adresi uz īstu BitBTC L1 adresi.
"Tad, kad uzbrucējs izņem savu ļaunprātīgo marķieri caur BitBTC tiltu, tas viņam piešķir reālus BitBTC marķierus L1," paskaidroja Bousfield.
Tehnoloģiju vadītājs piebilda, ka uzlaušanas veikšanai būs nepieciešamas septiņas dienas, tādējādi radot iespēju izstrādātājiem izlabot sistēmu, ja tas būtu mērķtiecīgs.
Diemžēl tieši tā notika pirmdien, jo uzbrucējs no sistēmas izņēma 200 miljardus viltotu BitBTC. Šo žetonu vērtība dolāros nav skaidra, jo BitBTC rīcībā nav publiski pieejamu tirgus datu.
"BitBTC komandai ir 7 dienas, lai to labotu L1!" brīdināja Bousfield.
Tehnoloģiju vadītājs paskaidroja, ka kļūda ir ekskluzīva BitBTC, nevis optimisma vaina. Viņš arī teica, ka ir sazinājies ar BitBTC komandu gan pirms, gan pēc kļūdas rašanās, taču "joprojām meklē dzīvības pazīmes".
Ekspluatētājs ir apgalvojis, ka viņa uzbrukuma mērķis ir tikai pārbaudīt uzbrukuma vektoru.
Binance Bridge Bug
Līdzīgā veidā bija Binance tilts izmantots šī mēneša sākumā, ļaujot hakeram no zila gaisa kalt 2 miljonus USD BNB (500 miljonu USD vērtībā).
Tilti ir paredzēti, lai ļautu kriptovalūtu lietotājiem pārsūtīt savus marķierus starp dažādām blokķēdēm. Lai gan daži tilti izmanto centralizētas/federētas sistēmas ar uzticamām trešajām pusēm, lai pārvaldītu tiltu, citi izmanto sarežģītākas sistēmas, kuru pamatā ir kods. Tomēr pēdējie var būt pakļauti kļūdām, kas ļauj hakeriem izņemt nelikumīgus līdzekļus.
Pašlaik blokķēdes tilti ir lielākie DeFi uzlaušanas upuri, grāmatvedība par 2.5 miljardu dolāru zaudētajiem aktīviem.
Binance bezmaksas 100 $ (ekskluzīvi): Izmantojiet šo saiti reģistrēties un saņemt USD 100 bez maksas un 10% atlaidi Binance Futures pirmajā mēnesī (noteikumi).
PrimeXBT īpašais piedāvājums: Izmantojiet šo saiti lai reģistrētos un ievadītu POTATO50 kodu, lai saņemtu līdz 7,000 USD par saviem noguldījumiem.
Avots: https://cryptopotato.com/hacker-withdraws-200-billion-fake-bitbtc-from-optimism-bridge/