Пользователь Twitter предотвращает эксплойт моста стоимостью 200 миллиардов BitBTC, указывая на серьезную уязвимость

Во вторник пользователь Twitter забил тревогу по поводу уязвимости в оптимистичном мосте BitBTC, а эксплуататор быстро проверил теорию, инициировав вывод 200 миллиардов токенов BitBTC. 

Ли Боусфилд, технический руководитель PlasmaPower, решения Arbitrum для масштабирования Ethereum, сообщил в Twitter: "Оптимистичный мост BitBTC тривиально уязвим. Их команда игнорирует мои сообщения, поэтому я собираюсь опубликовать критический эксплойт здесь".

Межцепочечный мост BitBTC предлагает пользователям рампу для обмена токенами децентрализованного финансового протокола BitBTC и блокчейн-сети Optimism layer-2.

Боусфилд описал уязвимость цепочки в серии твитов, объяснив, что потенциальные злоумышленники могут разместить на Optimism свой собственный вредоносный токен, передать себе весь запас, а затем использовать мост для вывода его в виде настоящих токенов BitBTC. 

В тот же день один из пользователей проверил эту теорию, попытавшись вывести 200 миллиардов BitBTC с биржи Optimism. Но для снятия токена с моста обычно требуется семь дней, а уязвимость моста BitBTC была исправлена обновлением программного обеспечения в четверг, что предотвратило эксплойт, сказал Боусфилд.

Протоколы DeFi и мосты, в частности, стали объектом неустанных атак хакеров в октябре этого года, который стал самым большим месяцем для взломов криптовалют, согласно данным Chainalysis. 

"Межцепочечные мосты являются привлекательной мишенью, поскольку в них часто имеется центральное хранилище средств, которые поддерживают "мостовые" активы на принимающем блокчейне", - сообщила Forkast по электронной почте Кимберли Грауэр, руководитель отдела исследований американской компании Chainalysis, специализирующейся на анализе блокчейна. Многие модели мостов также являются новыми и непроверенными, что создает уязвимости для злоумышленников, которыми они могут воспользоваться, добавила она. 

По словам Кельвина Фихтера, разработчика Optimism, уязвимость была не в коде Optimism, а скорее по вине пользовательского дизайна моста, созданного BitBTC. 

"Я настоятельно рекомендую использовать стандартный мост, а не создавать свой собственный, если только вы не знаете, что делаете", - написал Фихтер в Твиттере, поблагодарив пользователей Твиттера за то, что они "подняли шум и помогли добиться исправления ситуации". 

Фитчер также ответил Баусфилду в своем твиттере: "Я думаю, что были альтернативные способы связаться с командой BitBTC, которые были бы лучше, чем публичное размещение этой информации и возможность ее использования".