Мост Optimism, поддерживающий приватную монету BitBTC, активно эксплуатируется для получения 200 миллиардов токенов BitBTC. 

Из-за технических особенностей взлома у команды BitBTC теперь есть менее 7 дней, чтобы осуществить обновление для минимизации ущерба.

Плохо спроектированный мост

По словам технического руководителя Arbitrum Ли Боусфилда в Twitter, мост BitBTC содержал "критический эксплойт", который сделал его "тривиально уязвимым". Он связан с взаимосвязью между адресами первого уровня (L1) Ethereum и второго уровня (L2) Optimism. 

Как объяснил Боусфилд, L2 сторона моста Optimism позволяет пользователям выводить любые токены и выбирать адрес L1, на который будут передаваться токены на L1 стороне моста. 

Однако, когда сторона L1 чеканит токены, она просто игнорирует, какой токен был изъят стороной уровня 2 в первую очередь. Это означает, что злоумышленник может намайнить свой собственный никчемный токен на Optimism, но при этом установить адрес токена L1 на реальный адрес BitBTC L1. 

"Затем, когда злоумышленник выводит свой вредоносный токен через мост BitBTC, он выдает ему настоящие токены BitBTC на L1", - пояснил Баусфилд. 

Технический руководитель добавил, что взлом займет семь дней, что оставляет разработчикам возможность внести исправления в систему, если эксплойт окажется целевым. 

К сожалению, именно это и произошло в понедельник, когда злоумышленник вывел из системы 200 миллиардов фальшивых BitBTC. Долларовая стоимость этих токенов неясна, поскольку BitBTC не имеет общедоступных рыночных данных. 

"У команды BitBTC есть 7 дней, чтобы исправить это на L1!" - предупредил Боусфилд.

Технический руководитель пояснил, что ошибка относится исключительно к BitBTC, а не является виной Optimism. Он также сказал, что связывался с командой BitBTC как до, так и после появления ошибки, но "все еще ищет признаки жизни".

Эксплуататор утверждает, что его атака направлена лишь на проверку вектора атаки. 

Ошибка моста Binance

Аналогичным образом в начале этого месяца был взломан мост Binance, что позволило хакеру добыть 2 миллиона BNB (стоимостью 500 миллионов долларов) из воздуха. 

Мосты предназначены для того, чтобы пользователи криптовалют могли переводить свои токены между различными блокчейнами. В то время как некоторые мосты используют централизованные/федеративные системы с доверенными третьими лицами для управления мостом, другие используют более сложные системы, основанные на коде. Последние, однако, могут быть подвержены ошибкам, которые позволяют хакерам выводить незаконные средства. 

В настоящее время блокчейн-мосты стали крупнейшими жертвами взломов DeFi, на их долю приходится $2,5 млрд. потерянных активов. 

Источник