Ang Optimism bridge na sumusuporta sa privacy coin na BitBTC ay aktibong pinagsasamantalahan para sa 200 bilyong BitBTC token.
Dahil sa teknikal ng pag-hack, ang BitBTC team ay mayroon na ngayong wala pang 7 araw para magpatupad ng upgrade para mabawasan ang mga pinsala.
Isang Tulay na Maling Idinisenyo
Ayon sa Arbitrum tech lead na si Lee Bousfield sa kaba, ang BitBTC bride ay naglalaman ng isang "kritikal na pagsasamantala" na nag-iwan dito na "walang halaga." Kabilang dito ang ugnayan ng tulay sa pagitan ng mga address ng layer 1 (L1) ng Ethereum at ng mga address ng layer 2 (L2) ng Optimism.
Tulad ng ipinaliwanag ni Bousfield, Pag-asa sa mabuting ibubungaAng L2 na bahagi ng tulay ay nagbibigay-daan sa mga user na mag-withdraw ng anumang token, at piliin ang L1 token address kung saan ipapasa ang mga token sa L1 na bahagi ng tulay.
Gayunpaman, kapag nag-mint ang L1 side ng mga token, binabalewala lang nito kung aling token ang na-withdraw ng layer 2 side sa unang lugar. Nangangahulugan ito na ang isang attacker ay maaaring gumawa ng sarili nilang walang kwentang token sa Optimism, ngunit itakda ang L1 token address nito sa isang tunay na BitBTC L1 address.
"Pagkatapos, kapag inalis ng attacker ang kanilang malisyosong token sa pamamagitan ng BitBTC bridge, binibigyan sila nito ng mga totoong BitBTC token sa L1," paliwanag ni Bousfield.
Idinagdag ng tech lead na ang pag-hack ay aabutin ng pitong araw upang maisagawa - nag-iiwan ng isang window ng pagkakataon para sa mga dev na i-patch ang system kung ang pagsasamantala ay na-target.
Sa kasamaang palad, iyon mismo ang nangyari noong Lunes, habang ang isang umaatake ay nag-withdraw ng 200 bilyong pekeng BitBTC mula sa system. Ang halaga ng dolyar ng mga token na ito ay hindi malinaw, dahil ang BitBTC ay walang pampublikong magagamit na data ng merkado.
“May 7 araw ang koponan ng BitBTC para ayusin ito sa L1!” babala ni Bousfield.
Nilinaw ng tech lead na ang bug ay eksklusibo sa BitBTC, sa halip na kasalanan ng Optimism. Sinabi rin niya na nakipag-ugnayan siya sa BitBTC team bago at pagkatapos maganap ang bug, ngunit "naghahanap pa rin ng mga palatandaan ng buhay."
Sinabi ng mapagsamantala na ang kanyang pag-atake ay sinadya lamang upang subukan ang vector ng pag-atake.
Ang Binance Bridge Bug
Sa katulad na paraan, ang tulay ng Binance ay pinagsamantalahan mas maaga sa buwang ito, na nagpapahintulot sa isang hacker na mag-mint ng $2 milyon BNB (na nagkakahalaga ng $500 milyon) mula sa manipis na hangin.
Ang mga tulay ay idinisenyo upang hayaan ang mga gumagamit ng crypto na ilipat ang kanilang mga token sa pagitan ng iba't ibang mga blockchain. Habang ang ilang mga tulay ay gumagamit ng mga sentralisadong/federated system na may mga pinagkakatiwalaang third party upang pamahalaan ang tulay, ang iba ay gumagamit ng mas kumplikadong mga sistema batay sa code. Gayunpaman, ang huli ay maaaring madaling kapitan ng mga bug na nagpapahintulot sa mga hacker na mag-withdraw ng mga hindi lehitimong pondo.
Sa kasalukuyan, ang mga tulay ng blockchain ay ang pinakamalaking biktima ng mga hack ng DeFi, accounting para sa $2.5 bilyon sa mga nawawalang asset.
Binance Free $100 (Eksklusibo): Gamitin ang link na ito para magparehistro at makatanggap ng $100 na libre at 10% diskwento sa mga bayarin sa Binance Futures unang buwan (takda).
Espesyal na Alok ng PrimeXBT: Gamitin ang link na ito para magparehistro at maglagay ng POTATO50 code para makatanggap ng hanggang $7,000 sa iyong mga deposito.
Pinagmulan: https://cryptopotato.com/hacker-withdraws-200-billion-fake-bitbtc-from-optimism-bridge/