Cầu Optimism hỗ trợ đồng tiền riêng tư BitBTC vừa phải trải qua một vụ tấn công nghiêm trọng, với hậu quả là hacker đã lấy đi 200 tỷ mã thông báo BitBTC.
Do đặc điểm kỹ thuật của vụ hack, nhóm BitBTC hiện chỉ còn chưa đầy 7 ngày để thực hiện nâng cấp nhằm giảm thiểu thiệt hại. Nếu không, số tiền ấy sẽ hoàn toàn “bốc hơi”.
Một cây cầu được thiết kế kém
Theo chia sẻ trên Twitter của lãnh đạo công nghệ của Arbitrum, Lee Bousfield, cầu BitBTC chứa một “lỗi nghiêm trọng” khiến nó “dễ bị tổn thương một cách đáng kể”. Nó liên quan đến mối quan hệ của cầu nối giữa địa chỉ lớp 1 (L1) của Ethereum và địa chỉ lớp 2 (L2) của Optimism.
Như Bousfield giải thích, phía L2 của Optimism cho phép người dùng rút bất kỳ mã thông báo nào và chọn địa chỉ mã thông báo L1, mà các mã thông báo sẽ chuyển qua phía L1.
Tuy nhiên, khi phía L1 đào mã thông báo, nó chỉ đơn giản là bỏ qua mã thông báo nào đã được rút bởi phía L2 ngay từ đầu. Điều này có nghĩa là kẻ tấn công có thể đúc mã thông báo vô giá trị của riêng họ trên Optimism, nhưng đặt địa chỉ mã thông báo L1 của nó thành địa chỉ BitBTC L1 thực.
“Sau đó, khi kẻ tấn công rút mã thông báo giả của họ thông qua cầu BitBTC, nó sẽ cung cấp cho chúng mã thông báo BitBTC thực trên L1,” Bousfield giải thích.
Trưởng nhóm công nghệ Arbitrum nói thêm rằng vụ hack sẽ mất bảy ngày để hoàn thành – để lại cơ hội cho các nhà phát triển vá lỗi hệ thống trong trường hợp bị tấn công.
Thật không may, đó chính xác là những gì đã xảy ra vào thứ Hai vừa qua, khi kẻ tấn công rút 200 tỷ BitBTC giả khỏi hệ thống. Giá trị tính bằng đô la của những mã thông báo này vẫn chưa được làm rõ, vì BitBTC không có dữ liệu thị trường công khai.
“Nhóm BitBTC có 7 ngày để khắc phục sự cố trên L1!” Bousfield cảnh báo.
Trưởng nhóm công nghệ Arbitrum đã làm rõ rằng lỗi này là độc quyền của BitBTC, chứ không phải là lỗi của Optimism. Anh cũng cho biết là mình đã liên hệ với nhóm BitBTC cả trước và sau khi lỗi xảy ra, nhưng “vẫn chưa thấy phản hồi”.
Hacker đã tuyên bố rằng cuộc tấn công của anh ta chỉ nhằm mục đích kiểm tra vector tấn công.
Các cây cầu là mục tiêu “béo bở”
Theo cách tương tự, cầu Binance đã bị khai thác vào đầu tháng này, cho phép một hacker kiếm được 2 triệu BNB (trị giá 500 triệu USD).
Các cây cầu được thiết kế để cho phép người dùng tiền điện tử chuyển mã thông báo của họ giữa các blockchain khác nhau. Trong khi một số cầu sử dụng hệ thống tập trung/liên kết với các bên thứ ba đáng tin cậy để quản lý cầu, những cầu khác sử dụng các hệ thống phức tạp hơn dựa trên mã. Tuy nhiên, người sau có thể dễ xảy ra lỗi và cho phép tin tặc rút tiền bất hợp pháp.
Hiện tại, các cầu nối blockchain đang là mục tiêu lớn nhất của các vụ hack DeFi, chiếm 2,5 tỷ USD trong tổng số tài sản bị tổn thất của ngành.
Tham gia cộng đồng của chúng tôi để cùng bàn luận và cập nhật những thông tin Crypto mới nhất:
- Cryptory Insights: https://t.me/CryptoryInsights
- Cryptory Global Community: https://t.me/CryptoryCommunity
- Vietnamese Telegram channel: https://t.me/cryptory_vncomm
- Facebook: https://www.facebook.com/CryptoryNetwork
- Twitter: https://twitter.com/CryptoryNetwork