Хакер вывел 200 миллиардов поддельных BitBTC с Optimism Bridge

Мост Optimism, поддерживающий конфиденциальную монету BitBTC, активно используется для получения 200 миллиардов токенов BitBTC.

Из-за технических особенностей взлома у команды BitBTC теперь есть менее 7 дней, чтобы внедрить обновление, чтобы свести к минимуму ущерб.

Плохо спроектированный мост

По словам технического руководителя Arbitrum Ли Боусфилда в Твиттере, невеста BitBTC содержала «критический эксплойт», который делал ее «тривиально уязвимой». Он включает в себя связь моста между адресами уровня 1 (L1) Ethereum и адресами уровня 2 (L2) Optimism.

Как объяснил Боусфилд, сторона L2 моста Optimism позволяет пользователям снимать любые токены и выбирать адрес токена L1, на который будут передаваться токены на стороне L1 моста.

Однако, когда сторона L1 выпускает токены, она просто игнорирует, какой токен был отозван стороной уровня 2 в первую очередь. Это означает, что злоумышленник может создать свой собственный бесполезный токен на Optimism, но установить адрес своего токена L1 на реальный адрес BitBTC L1.

«Затем, когда злоумышленник выводит свой вредоносный токен через мост BitBTC, он дает ему настоящие токены BitBTC на L1», — пояснил Боусфилд.

Технический руководитель добавил, что на взлом потребуется семь дней, что оставляет разработчикам возможность исправить систему, если эксплойт будет выбран.

К сожалению, именно это и произошло в понедельник, когда злоумышленник вывел из системы 200 миллиардов поддельных BitBTC. Долларовая стоимость этих токенов неясна, поскольку BitBTC не имеет общедоступных рыночных данных.

«У команды BitBTC есть 7 дней, чтобы исправить это на L1!» предупредил Боусфилд.

Технический руководитель пояснил, что ошибка связана исключительно с BitBTC, а не с ошибкой Optimism. Он также сказал, что связывался с командой BitBTC как до, так и после появления ошибки, но «все еще ищет признаки жизни».

Эксплуататор заявил, что его атака предназначена просто для проверки вектора атаки.

Ошибка Binance Bridge

Аналогичным образом ранее в этом месяце был взломан мост Binance, позволивший хакеру создать 2 миллиона BNB (стоимостью 500 миллионов долларов) из воздуха.

Мосты предназначены для того, чтобы пользователи криптовалюты могли передавать свои токены между разными блокчейнами. В то время как некоторые мосты используют централизованные/федеративные системы с доверенными третьими сторонами для управления мостом, другие используют более сложные системы, основанные на коде. Последний, однако, может быть подвержен ошибкам, которые позволяют хакерам выводить незаконные средства.

В настоящее время мосты блокчейна стали крупнейшими жертвами взломов DeFi, на которые приходится 2,5 миллиарда долларов потерянных активов.