Un bridge cross-chain tra BitBTC e Optimism, network layer-2 di Ethereum, è riuscito a evitare un potenziale exploit grazie all'intervento di un utente di Twitter.

Il bridge cross-chain personalizzato offre agli utenti la possibilità di inviare asset tra la rete di Optimism e l'ecosistema di finanza decentralizzata (DeFi) di BitAnt, che comprende servizi di yield, token non fungibili (NFT), swap e il token BitBTC, che è in rapporto di 1 milione a 1 con Bitcoin (BTC).

Il bug del bridge BitBTC è stato segnalato il 18 ottobre su Twitter da Lee Bousfield, tech lead della rete L2 Abirtrum, che ha avvisato che "il bridge Optimism di BitBTC è banalmente vulnerabile".

Bousfield ha dichiarato di aver pubblicato il tweet perché "il team ha ignorato i miei messaggi, quindi pubblicherò la vulnerabilità qui".

Il bridge Optimism di BitBTC è banalmente vulnerabile. Il loro team ha ignorato i miei messaggi, quindi pubblicherò qui l'exploit critico. https://t.co/onyN9SzBjt

— Lee Bousfield (@PlasmaPower0) October 18, 2022

Secondo Bousfield, il bridge BitBTC presentava un bug che consentiva a un aggressore di creare token falsi su un lato del bridge e swapparli con quelli veri sull'altro.

"Dal lato Optimism L2 del bridge è possibile prelevare qualsiasi token, e consente a quel token di selezionare l'indirizzo L1 del Token trasmesso al lato L1 del bridge. Tuttavia, il bridge L1 ignora completamente cosa fosse il token L2 e va avanti a mintare il token L1 arbitrario!" ha scritto, aggiungendo che:

"Ciò significa che un aggressore potrebbe distribuire il proprio token su Optimism, attribuirsi tutta la supply e impostare il Token L1 di quel token sull'indirizzo L1 di BitBTC reale".

Affinché il bug possa essere sfruttato con successo, Bousfield ha sottolineato che ci vorrebbero "7 giorni, durante i quali il bridge L1 potrebbe essere corretto tramite un aggiornamento".

Poco dopo aver rilevato ciò, qualcuno ha messo alla prova questa teoria, tentando di prelevare "200 miliardi di BitBTC falsi da Optimism". L'aggressore ha affermato che si trattava di un semplice test.

In un successivo aggiornamento, circa 10 ore dopo, Bousfield ha segnalato che il bug era stato risolto grazie al contatto con il team di BitBTC.

Cointelegraph ha contattato il team di BitAnt per avere conferma di questi dettagli e aggiornerà la storia in caso di risposta.

Il 18 ottobre Kevin Fichter, sviluppatore di Optimism, ha confermato che il bug riguardava BitBTC, che aveva utilizzato il proprio bridge personalizzato invece del bridge standard che Optimism offre ai partner.

Fichter ha anche osservato che gli asset "diversi da BitBTC non sono a rischio", aggiungendo che è stato dedicato molto "tempo ed energia al bridge standard" e incoraggiando le persone a utilizzarlo "a meno che non si sappia cosa si sta facendo".