Ang isang cross-chain na tulay sa pagitan ng BitBTC at ng Ethereum layer-2 network Optimism ay nagawang maiwasan ang isang potensyal na magastos na pagsasamantala salamat sa gawain ng isang user ng Twitter na may mata ng agila.
Ang kinaugalian tulay ng cross-chain nag-aalok ng ramp para sa mga user magpadala ng mga asset sa pagitan ng network ng Optimism at ng BitAnt desentralisadong pananalapi (DeFi) ecosystem, na kinabibilangan ng mga serbisyo ng ani, nonfungible token (NFTs), swaps at BitBTC token, kung saan ang 1 milyong BitBTC ay kumakatawan sa 1 Bitcoin (BTC).
Ang BitBTC bridge bug ay na-highlight ng L2 network Abirtrum tech lead Lee Bousfield sa isang post sa Twitter noong Oktubre 18, na nagbabala na "ang tulay ng Optimism ng BitBTC ay madaling masugatan."
Sinabi ni Bousfield na inilathala niya ang Tweet bilang "binalewala ng koponan ang aking mga mensahe, kaya i-publish ko ang kritikal na pagsasamantala dito."
Ang tulay ng Optimism ng BitBTC ay medyo mahina. Binalewala ng kanilang team ang aking mga mensahe, kaya ipapa-publish ko ang kritikal na pagsasamantala dito. https://t.co/onyN9SzBjt
— Lee Bousfield (@PlasmaPower0) Oktubre 18, 2022
Ayon kay Bousfield, ang tulay ng BitBTC ay may isang bug na magpapahintulot sa isang umaatake na mag-mint ng mga pekeng token sa isang gilid ng tulay, at palitan ang mga ito para sa mga tunay sa kabila.
“Ang Optimism L2 na bahagi ng tulay ay nagbibigay-daan sa iyong mag-withdraw ng anumang token, at hahayaan ang token na iyon na piliin ang L1Token address na ipinasa sa L1 na bahagi ng tulay. Gayunpaman, lubusang binabalewala ng L1 bridge kung ano ang L2 token, at nagpapatuloy lang ito sa paggawa ng arbitrary L1 token!” isinulat niya, idinagdag na:
"Nangangahulugan iyon na ang isang attacker ay maaaring mag-deploy ng kanilang sariling token sa Optimism, ibigay sa kanilang sarili ang lahat ng supply, at itakda ang L1 Token ng token na iyon sa totoong BitBTC L1 address."
Para matagumpay na mapagsamantalahan ang bug, binalangkas ni Bousfield na aabutin ng "7 araw upang makumpleto, kung saan maaaring maayos ang tulay ng L1 sa pamamagitan ng pag-upgrade."
Di-nagtagal pagkatapos na mapansin iyon, may sumubok sa teoryang iyon, na may isang umaatake na nagtatangkang bawiin ang "200 bilyong pekeng BitBTC mula sa Optimism."
Iniulat ng umaatake na ito ay isang pagsubok lamang.
Nabanggit din ni Bousfield sa isang kasunod na pag-update pagkalipas ng 10 oras na ang bug ay na-patch na pagkatapos niyang makontak ang BitBTC team.
Nakipag-ugnayan ang Cointelegraph sa BitAnt team para sa kumpirmasyon sa mga detalyeng ito at ia-update ang kuwento kung tumugon sila.
Optimism developer na si Kevin Fichter noong Okt. 18 mapag- na ang bug ay nasa panig ng mga bagay ng BitBTC, dahil ginamit nito ang sarili nitong custom na tulay kumpara sa karaniwang tulay ng Optimism na inaalok nito sa mga kasosyo.
Nabanggit din ni Fichter na ang mga asset "maliban sa BitBTC ay hindi nasa panganib," idinagdag na mayroong maraming "oras at lakas na inilagay sa karaniwang tulay" at hinikayat ang mga tao na gamitin ang karaniwang tulay "maliban kung alam mo kung ano ang iyong ginagawa. ”
Pinagmulan: https://cointelegraph.com/news/twitter-user-saves-cross-chain-bridge-from-potential-exploit