Як Twitter дапамог прадухіліць крытычны эксплойт

Гэтая ўразлівасць была не ў кодзе Optimism, а ў карыстацкім мосце, прадастаўленым BitBTC
Карыстальніцкі код моста BitBTC не прызнаў канкрэтны токен ўзроўню 2, адчаканены на адрасе ўзроўню 1

Карыстальнік Twitter дапамог прадухіліць патэнцыйны эксплойт пасля таго, як публічна адзначыў уразлівасць у BitBTC's Optimism bridge — апошнюю падобны промах пасля года, поўнага «паспяховых» крадзяжоў.

Лі Боусфілд, тэхнічны кіраўнік рашэння для маштабавання Ethereum Arbitrum — PlasmaPower0 у Twitter — апублікаваў тое, што ён назваў крытычным эксплойтам пасля таго, як сказаў, што BitBTC ігнаруе яго паведамленні.

Мост аптымізму BitBTC трывіяльна ўразлівы. Іх каманда праігнаравала мае паведамленні, таму я збіраюся апублікаваць крытычны эксплойт тут. 🧵https://t.co/onyN9SzBjt
— Лі Бусфілд (@PlasmaPower0) Кастрычнік 18, 2022

Blockchain Bridge ўзроўню 2 Optimism палягчае зняцце любога токена з адпаведнага кашалька ўзроўню 1. Але задзейнічаны код BitBTC не прызнае, што насамрэч уяўляе сабой токен ўзроўню 2, і чаканіць адвольны ўзровень 1, каб ён адпавядаў.

«Гэта азначае, што зламыснік можа разгарнуць свой уласны токен на Optimism, даць сабе ўвесь запас і ўсталяваць L1Token гэтага токена на рэальны адрас BitBTC L1», — напісаў Боусфілд у твітэры.

«Затым, калі зламыснік забірае свой шкоднасны токен праз мост BitBTC, ён дае яму рэальныя токены BitBTC на L1».

Варта адзначыць, што, па словах Кельвіна Фіхтэра, распрацоўшчыка Optimism, відавочная ўразлівасць была не ў кодзе Optimism, а ў карыстальніцкім мосце, створаным BitBTC. Гэта азначае, што, паводле ацэнак распрацоўшчыка, актывы, не звязаныя з BitBTC, не падвяргаліся рызыцы.

«Мы ўкладваем шмат часу і энергіі ў стандартны мост, і я настойліва раю выкарыстоўваць стандартны мост, а не будаваць свой уласны мост, калі вы сапраўды не ведаеце, што робіце», — сказаў Фіхтэр. чирикнул.

На наступны дзень зламыснік, які сцвярджаў, што тэставаў код, паспрабаваў вывесці 200 мільярдаў BitBTC з Optimism.

Эксплойт удалося спыніць, паколькі працэс вываду токена з моста заняў бы сем дзён, а BitBTC тым часам выправіў уразлівасць праз абнаўленне праграмнага забеспячэння.

«Цяпер атакі не атрымаюцца, калі яны прыбудуць на L1. Дзякуй усім за тое, што паднялі шум і дапамаглі выправіць гэта», — Боусфілд чирикнул.

Боусфілд не адразу вярнуў запыт на каментар.

Кожны вечар атрымлівайце на сваю паштовую скрыню галоўныя крыпта-навіны дня і інфармацыю. Падпішыцеся на бясплатную рассылку ад Blockworks цяпер.

Бэсі Лю
Блокавыя работы
Рэпарцёр
Бэсі - крыптарэпарцёр з Нью-Ёрка, якая раней працавала тэхнічным журналістам у The Org. Яна атрымала ступень магістра журналістыкі ў Нью-Йоркскім універсітэце пасля таго, як больш за два гады працавала кансультантам па менеджменту. Бэсі родам з Мельбурна, Аўстралія.
Вы можаце звязацца з Бэсі па адрасе [электронная пошта абаронена]

Крыніца: https://blockworks.co/how-twitter-helped-avert-a-critical-exploit/