Người dùng Twitter cứu cầu nối xuyên chuỗi khỏi nguy cơ hack tiềm năng
Cầu BitBTC được báo cáo đã có một lỗi về cơ bản cho phép kẻ tấn công đúc các mã thông báo giả mạo ở một bên của cầu và hoán đổi chúng cho những mã thật ở bên kia.
Một cầu nối xuyên chuỗi giữa BitBTC và mạng Ethereum lớp 2 Sự lạc quan đã có thể tránh được việc khai thác có khả năng tốn kém nhờ vào công việc của một người dùng Twitter có đôi mắt đại bàng.
Cầu nối chuỗi chéo tùy chỉnh cung cấp một đoạn đường nối để người dùng gửi nội dung giữa mạng của Optimismvà hệ sinh thái tài chính phi tập trung (DeFi) của BitAnt , bao gồm các dịch vụ lợi nhuận, mã thông báo không thể sử dụng được (NFT), hoán đổi và mã thông báo BitBTC, trong đó 1 triệu BitBTC đại diện cho 1 Bitcoin (BTC).
Lỗi cầu BitBTC đã được nêu bật bởi Lee Bousfield, trưởng nhóm công nghệ của mạng L2, Abirtrum trong một bài đăng trên Twitter ngày 18 tháng 10, cảnh báo rằng “Cầu lạc quan của BitBTC rất dễ bị tấn công”.
Bousfield cho biết anh ấy đã xuất bản Tweet vì “nhóm đã bỏ qua tin nhắn của tôi, vì vậy tôi sẽ xuất bản khai thác quan trọng ở đây.”
Cầu lạc quan của BitBTC rất dễ bị tấn công. Nhóm của họ đã bỏ qua tin nhắn của tôi, vì vậy tôi sẽ xuất bản khai thác quan trọng ở đây. https://t.co/onyN9SzBjt
– Lee Bousfield (@ PlasmaPower0) ngày 18 tháng 10 năm 2022
Theo Bousfield, cầu BitBTC có một lỗi cho phép kẻ tấn công đúc các mã thông báo giả mạo ở một bên của cầu và hoán đổi chúng cho các mã thật ở bên kia.
“Phía L2 của cây cầu Lạc quan cho phép bạn rút bất kỳ mã thông báo nào và nó cho phép mã thông báo đó chọn địa chỉ L1Token được chuyển đến phía L1 của cây cầu. Tuy nhiên, cầu nối L1 hoàn toàn bỏ qua mã thông báo L2 là gì và chỉ cần tiếp tục và đào mã thông báo L1 tùy ý! ” anh ấy đã viết, nói thêm rằng:
“Điều đó có nghĩa là kẻ tấn công có thể triển khai mã thông báo của riêng họ trên Lạc quan, tự cung cấp cho họ tất cả nguồn cung cấp và đặt Mã thông báo L1 của mã thông báo đó thành địa chỉ BitBTC L1 thực.”
Để khai thác lỗi thành công, Bousfield vạch ra rằng sẽ mất “7 ngày để vượt qua, trong đó cầu L1 có thể được sửa thông qua nâng cấp.”
Ngay sau khi ghi nhận điều đó, một người nào đó đã tiếp tục kiểm tra lý thuyết đó, với một kẻ tấn công đang cố gắng rút “200 tỷ BitBTC giả từ Lạc quan”.
Kẻ tấn công đã tuyên bố rằng đó chỉ là một cuộc thử nghiệm.
Bousfield cũng lưu ý trong một bản cập nhật tiếp theo vào khoảng 10 giờ sau rằng lỗi này đã được vá sau khi anh ta liên lạc được với nhóm BitBTC.
Nhà phát triển Optimism Kevin Fichter vào ngày 18 tháng 10 đã xác nhận rằng lỗi là do lỗi của BitBTC, vì nó đã sử dụng cầu nối tùy chỉnh của riêng mình thay vì cầu nối tiêu chuẩn của Optimism mà nó cung cấp cho các đối tác.
Fichter cũng lưu ý rằng các tài sản “không phải BitBTC không có rủi ro”, nói thêm rằng có rất nhiều “thời gian và năng lượng được đặt vào cầu tiêu chuẩn” và khuyến khích mọi người sử dụng cầu tiêu chuẩn “trừ khi bạn biết mình đang làm gì. ”