De Optimism-brug die de privacymunt BitBTC ondersteunt, wordt actief gebruikt voor 200 miljard BitBTC-tokens.
Vanwege de technische aspecten van de hack heeft het BitBTC-team nu minder dan 7 dagen om een upgrade te implementeren om de schade te minimaliseren.
Een slecht ontworpen brug
Volgens Arbitrum tech lead Lee Bousfield op Twitter, bevatte de BitBTC-bruid een "kritieke exploit" waardoor het "triviaal kwetsbaar" bleef. Het gaat om de relatie van de brug tussen de adressen van laag 1 (L1) van Ethereum en de adressen van laag 2 (L2) van Optimism.
Zoals Bousfield uitlegde, OptimismeMet de L2-kant van de brug kunnen gebruikers elk token intrekken en het L1-tokenadres kiezen waarnaar de tokens aan de L1-kant van de brug gaan.
Wanneer de L1-kant echter tokens munt, negeert het eenvoudig welk token in de eerste plaats door de laag 2-kant werd ingetrokken. Dit betekent dat een aanvaller zijn eigen waardeloze token op Optimism kan slaan, maar zijn L1-tokenadres op een echt BitBTC L1-adres kan instellen.
"Als de aanvaller vervolgens zijn kwaadaardige token terugtrekt via de BitBTC-bridge, geeft het hem echte BitBTC-tokens op L1", legt Bousfield uit.
De technische leider voegde eraan toe dat de hack zeven dagen in beslag zou nemen, waardoor ontwikkelaars de kans kregen om het systeem te patchen als de exploit het doelwit was.
Helaas is dat precies wat er maandag gebeurde, toen een aanvaller 200 miljard nep-BitBTC uit het systeem haalde. De dollarwaarde van deze tokens is onduidelijk, aangezien BitBTC geen openbaar beschikbare marktgegevens heeft.
"Het BitBTC-team heeft 7 dagen om het op L1 te repareren!" waarschuwde Bousfield.
De technische leider verduidelijkte dat de bug exclusief is voor BitBTC, in plaats van de schuld van Optimism. Hij zei ook dat hij contact heeft opgenomen met het BitBTC-team zowel voor als nadat de bug plaatsvond, maar "nog steeds op zoek is naar tekenen van leven".
De uitbuiter heeft beweerd dat zijn aanval alleen bedoeld is om de aanvalsvector te testen.
De Binance Bridge-bug
Op een vergelijkbare manier was Binance bridge: Exploited eerder deze maand, waardoor een hacker $ 2 miljoen BNB (ter waarde van $ 500 miljoen) uit het niets kon slaan.
Bridges zijn ontworpen om crypto-gebruikers hun tokens tussen verschillende blockchains te laten overdragen. Terwijl sommige bridges gecentraliseerde/federatieve systemen met vertrouwde derde partijen gebruiken om de bridge te beheren, gebruiken andere meer complexe systemen op basis van code. Dit laatste kan echter gevoelig zijn voor bugs waardoor hackers onwettig geld kunnen opnemen.
Op dit moment zijn blockchain-bruggen de grootste slachtoffers van DeFi-hacks, boekhoudkundige voor $ 2.5 miljard aan verloren activa.
Binance gratis $ 100 (exclusief): Gebruik deze link om u te registreren en de eerste maand $ 100 gratis en 10% korting te ontvangen op Binance Futures (termen).
PrimeXBT Speciale aanbieding: Gebruik deze link om te registreren en de POTATO50-code in te voeren om tot $7,000 op uw stortingen te ontvangen.
Bron: https://cryptopotato.com/hacker-withdraws-200-billion-fake-bitbtc-from-optimism-bridge/