Jedná se o malou, ale potenciálně nákladnou chybu. Řešení druhé vrstvy Optimism (OP) mělo poslat 20 milionů svých tokenů organizaci Wintermute, ale ta neposkytla správnou adresu. V důsledku toho byly miliony tokenů OP zaslány na špatnou adresu a nyní jsou v rukou neznámé osoby, která již část z nich začala převádět prostřednictvím Tornado Cash.
Optimismus chybně umístil 20 milionů žetonů OP
Ethereum (ETH) layer 2 řešení Optimism, které nedávno spustilo svůj první airdrop, bylo kvůli chybě v transakci odcizeno 15 milionů dolarů v OP tokenech.
Ahoj lidi – v zájmu transparentnosti bychom se rádi podělili o některé podrobnosti o probíhající situaci:https://t.co/915vIgRIJG
Shrnutí níže
– Optimismus (✨_✨) (@optimismPBC) 8. června 2022
Optimism poslal před dvěma týdny organizaci Wintermute 20 milionů tokenů OP (přibližně 15 milionů dolarů) prostřednictvím vyhrazeného partnerského fondu sítě, zejména za účelem zajištění likvidity pro burzy.
Organizace však předala svou adresu na vrstvě 1, a nikoli adresu na vrstvě 2, na které Optimism pracuje. V důsledku toho byly tokeny OP v hodnotě 15 milionů dolarů odeslány… na nesprávnou adresu.
„Při sdělování adresy peněženky týmu Optimismus jsme se dopustili závažné chyby. Nějakou dobu jsme měli v mainnetu nasazenou multisig peněženku Gnosis Safe a kvůli interní chybě jsme komunikovali stejnou peněženku pro přijímací adresu. „
Sled událostí
Když tým Wintermute 30. května chybu odhalil, tvrdil, že finanční prostředky, ačkoli byly na špatné adrese, zůstaly v bezpečí, protože byly nedostupné. Zdá se však, že se někomu podařilo žetony získat, protože byly přesunuty na jinou adresu.
Jak se uvádí v oficiální tiskové zprávě Wintermute, v době psaní článku
se jich prodalo již milion.
Naneštěstí se útočníkovi podařilo nasadit multisig na vrstvě 2 s jiným inicializačním nastavením ještě před dokončením operace obnovení a převzal kontrolu nad 20 miliony tokenů OP. Tato adresa od té doby prodala 1 milion tokenů a zbytek může snadno prodat.“
Zloděj poslal tokeny na Ethereum a poté je převedl na jinou adresu peněženky prostřednictvím Tornado Cash, což je běžná praxe hackerů, kteří vymazávají záznamy o transakcích, aby se prostředky nedaly dohledat.
Společnost Wintermute však svou chybu plně uznala a zavázala se, že vrátí peníze za každý žeton prodaný z této adresy. To již bylo provedeno u 1 milionu již prodaných OP.
Kromě možnosti dalšího prodeje 20 milionů tokenů by útočník mohl tokeny také masivně využít k ovlivňování hlasování o správě decentralizované autonomní organizace (DAO). Scénář, který zatím nenastal, ale který zůstává pod bedlivým dohledem týmů Optimismu.
Útočník má ještě týden na vrácení prostředků
Společnost Wintermute ve svém prohlášení zmiňuje možnost, že útočník je pravděpodobně white hat a nakonec vrátí 19 milionů tokenů, které jsou stále uloženy na původní adrese. Podle nich to však není nejpravděpodobnější cesta, zejména proto, že jejich zpráva hackerovi zůstala bez odpovědi.
Tým, který má projekt na starosti, poslal útočníkovi vzkaz prostřednictvím své oficiální tiskové zprávy, v němž se zmiňuje zejména o možnosti spolupráce:
„Způsob, jakým je projekt veden, spočívá v tom, že na webových stránkách je uvedeno jméno hackera.
„Způsob, jakým byl útok proveden, je docela působivý a v budoucnu můžeme uvažovat o konzultacích nebo jiných formách spolupráce.“
Zdá se však, že pro útočníka je to dvojí nebo nic, přičemž Wintermute naznačil, že v případě potřeby budou podniknuty nezbytné kroky k jeho poškození:
“ Máte týden na to, abyste zvážili, zda se stanete bílým kloboukem. V případě, že se výše uvedené nestane, jsme 100% odhodláni vrátit všechny prostředky, vypátrat osobu(y) zodpovědnou(é) za zneužití, kompletně ji(je) doxxovat [veřejně odhalit její(jejich) identitu] a předat ji(je) příslušnému právnímu systému. Zvažte své možnosti a rozhodněte se být dobří a optimističtí, místo abyste žili ve strachu.“
Do té doby společnost Optimism vrátila společnosti Wintermute 20 milionů nových tokenů OP, aby neohrozila původní plány na zajištění likvidity burzám nabízejícím token OP.
