Mae'r bont Optimism sy'n cefnogi darn arian preifatrwydd BitBTC yn cael ei hecsbloetio'n weithredol ar gyfer 200 biliwn o docynnau BitBTC.
Oherwydd technegol yr hac, mae gan dîm BitBTC lai na 7 diwrnod i uwchraddio i leihau'r iawndal.
Pont sydd wedi'i Chynllunio'n Wael
Yn ôl arweinydd technoleg Arbitrum Lee Bousfield ymlaen Twitter, roedd y briodferch BitBTC yn cynnwys “camfanteisio critigol” a oedd yn ei gadael yn “ddibwys o fregus.” Mae'n ymwneud â pherthynas y bont rhwng cyfeiriadau haen 1 (L1) Ethereum a chyfeiriadau haen 2 (L2) Optimistiaeth.
Fel yr eglurodd Bousfield, OptimistiaethMae ochr L2 y bont yn gadael i ddefnyddwyr dynnu unrhyw docyn yn ôl, a dewis y cyfeiriad tocyn L1 y bydd y tocynnau'n mynd iddo ar ochr L1 y bont.
Fodd bynnag, pan fydd yr ochr L1 mints tocynnau, mae'n syml anwybyddu pa tocyn a dynnwyd yn ôl gan yr ochr haen 2 yn y lle cyntaf. Mae hyn yn golygu y gallai ymosodwr bathu eu tocyn diwerth eu hunain ar Optimistiaeth, ond eto wedi gosod ei gyfeiriad tocyn L1 i gyfeiriad BitBTC L1 go iawn.
“Yna, pan fydd yr ymosodwr yn tynnu eu tocyn maleisus yn ôl trwy bont BitBTC, mae’n rhoi tocynnau BitBTC go iawn iddynt ar L1,” esboniodd Bousfield.
Ychwanegodd yr arweinydd technoleg y byddai'r darnia'n cymryd saith diwrnod i'w gynnal - gan adael ffenestr o gyfle i ddevs glytio'r system pe bai'r camfanteisio yn cael ei dargedu.
Yn anffodus, dyna'n union beth ddigwyddodd ddydd Llun, wrth i ymosodwr dynnu BitBTC ffug 200 biliwn yn ôl o'r system. Nid yw gwerth doler y tocynnau hyn yn glir, gan nad oes gan BitBTC ddata marchnad sydd ar gael i'r cyhoedd.
“Mae gan dîm BitBTC 7 diwrnod i’w drwsio ar L1!” rhybuddiodd Bousfield.
Eglurodd yr arweinydd technoleg fod y nam yn gyfyngedig i BitBTC, yn hytrach na bai Optimistiaeth. Dywedodd hefyd ei fod wedi cysylltu â thîm BitBTC cyn ac ar ôl i’r byg ddigwydd, ond ei fod yn “dal i chwilio am arwyddion o fywyd.”
Mae'r ecsbloetiwr wedi honni bod ei ymosodiad i fod i brofi'r fector ymosodiad yn unig.
Byg Pont Binance
Mewn modd tebyg, roedd pont Binance hecsbloetio yn gynharach y mis hwn, gan ganiatáu i haciwr bathu $2 filiwn BNB (gwerth $500 miliwn) allan o aer tenau.
Mae pontydd wedi'u cynllunio i adael i ddefnyddwyr crypto drosglwyddo eu tocynnau rhwng gwahanol gadwyni bloc. Er bod rhai pontydd yn defnyddio systemau canolog/ffederal gyda thrydydd partïon dibynadwy i reoli'r bont, mae eraill yn defnyddio systemau mwy cymhleth yn seiliedig ar god. Gall yr olaf, fodd bynnag, fod yn dueddol o gael bygiau sy'n gadael i hacwyr dynnu arian anghyfreithlon yn ôl.
Ar hyn o bryd, pontydd blockchain sydd wedi dioddef fwyaf o haciau DeFi, cyfrifyddu am $2.5 biliwn mewn asedau coll.
Binance Am Ddim $ 100 (Unigryw): Defnyddiwch y ddolen hon i gofrestru a derbyn $ 100 am ddim a 10% oddi ar ffioedd ar Binance Futures y mis cyntaf (termau).
Cynnig Arbennig PrimeXBT: Defnyddiwch y ddolen hon i gofrestru a nodi cod POTATO50 i dderbyn hyd at $7,000 ar eich blaendaliadau.
Ffynhonnell: https://cryptopotato.com/hacker-withdraws-200-billion-fake-bitbtc-from-optimism-bridge/