BitBTC köprüsünde, bir saldırganın köprünün bir tarafında sahte token basmasına ve diğer tarafta bunları gerçek tokenlarla değiştirmesine olanak tanıyan bir hata olduğu bildirildi.
BitBTC ve Ethereum katman-2 ağı Optimism arasındaki çapraz zincir köprüsü, kartal gözlü bir Twitter kullanıcısının çalışması sayesinde potansiyel olarak maliyetli bir istismardan kaçınmayı başardı.
Özel çapraz zincir köprüsü, kullanıcıların Optimism’in ağı ile BitAnt’ın getiri hizmetleri, değiştirilemez tokenler (NFT’ler), takaslar ve 1 milyon BitBTC’nin 1 Bitcoin’i temsil ettiği BitBTC tokenini içeren merkezi olmayan finans (DeFi) ekosistemi arasında varlık göndermeleri için bir rampa sunuyor.
BitBTC köprü hatası, L2 ağı Abirtrum teknoloji lideri Lee Bousfield tarafından 18 Ekim tarihli bir Twitter gönderisinde vurgulandı ve “BitBTC’nin Optimism köprüsünün önemsiz derecede savunmasız olduğu” uyarısında bulundu.
Bousfield, Tweet’i “ekip mesajlarımı görmezden geldi, bu yüzden kritik açığı burada yayınlayacağım” şeklinde yayınladığını söyledi.
BitBTC’nin Optimism köprüsü önemsiz derecede savunmasız. Ekipleri mesajlarımı görmezden geldi, bu yüzden kritik açığı burada yayınlayacağım. https://t.co/onyN9SzBjt
– Lee Bousfield (@PlasmaPower0) 18 Ekim 2022
Bousfield’a göre BitBTC köprüsünde, bir saldırganın köprünün bir tarafında sahte tokenlar basmasına ve diğer tarafta bunları gerçek tokenlarla değiştirmesine olanak tanıyan bir hata vardı.
“Köprünün Optimism L2 tarafı herhangi bir tokenı çekmenize izin verir ve bu tokenın köprünün L1 tarafına aktarılan L1Token adresini seçmesine izin verir. Ancak L1 köprüsü L2 jetonunun ne olduğunu tamamen görmezden gelir ve sadece devam eder ve keyfi L1 jetonunu basar!” diye yazdı ve ekledi:
Bu, bir saldırganın Optimism’e kendi token’ını yerleştirebileceği, tüm arzı kendisine verebileceği ve bu token’ın L1 Token’ını gerçek BitBTC L1 adresine ayarlayabileceği anlamına gelir.
Bousfield, hatanın başarılı bir şekilde kullanılabilmesi için “7 gün geçmesi gerektiğini ve bu süre zarfında L1 köprüsünün bir yükseltme ile düzeltilebileceğini” belirtti.
Bunu belirttikten kısa bir süre sonra, bir saldırgan “Optimism’den 200 milyar sahte BitBTC” çekmeye çalışarak bu teoriyi test etmeye devam etti.
Saldırganın bunun sadece bir test olduğunu iddia ettiği bildirildi.
Bousfield ayrıca yaklaşık 10 saat sonra yaptığı bir güncellemede, BitBTC ekibiyle temasa geçmeyi başardıktan sonra hatanın düzeltildiğini belirtti.
Cointelegraph, bu ayrıntıların teyidi için BitAnt ekibine ulaştı ve yanıt vermeleri halinde hikayeyi güncelleyecek.
Optimism geliştiricisi Kevin Fichter 18 Ekim’de, hatanın BitBTC tarafında olduğunu, çünkü Optimism’in ortaklarına sunduğu standart köprü yerine kendi özel köprüsünü kullandığını doğruladı.
Fichter ayrıca “BitBTC dışındaki varlıkların risk altında olmadığını” belirterek, “standart köprüye çok fazla zaman ve enerji harcandığını” ve insanları “ne yaptığınızı bilmiyorsanız” standart köprüyü kullanmaya teşvik ettiğini sözlerine ekledi.
Bir önceki yazımıza buradan ulaşabilirsiniz: ABD makamları, Venezüella petrolünü USDT karşılığında satan bir kara para aklama çetesini olduğunu iddia etti.
