Este es un pequeño pero potencialmente costoso error. La solución de segunda capa Optimism (OP) debía enviar 20 millones de sus tokens a la organización Wintermute, pero ésta no proporcionó la dirección correcta. Como resultado, millones de tokens OP fueron enviados a la dirección equivocada, y ahora están en manos de un individuo desconocido que ya ha comenzado a transferir algunos de ellos a través de Tornado Cash.
El optimismo pierde 20 millones de fichas OP
La solución de capa 2 de Ethereum (ETH), Optimism, que recientemente lanzó su primera entrega aérea, sufrió el robo de 15 millones de dólares en tokens OP debido a un error de transacción.
Oigan amigos, en aras de la transparencia, nos gustaría compartir algunos detalles sobre una situación en curso:https://t.co/915vIgRIJG
Resumen a continuación
– Optimismo (✨_✨) (@optimismPBC) 8 de junio de 2022
Optimism envió hace dos semanas 20 millones de tokens OP (unos 15 millones de dólares) a la organización Wintermute a través del fondo dedicado a los socios de la red, en particular para proporcionar liquidez a los intercambios.
Sin embargo, la organización transmitió su dirección de capa 1, y no la de capa 2 en la que opera el Optimismo. Como resultado, 15 millones de dólares de tokens OP fueron transmitidos… a la dirección equivocada.
«Al comunicar la dirección de la cartera al equipo de Optimism, cometimos un grave error. Teníamos un monedero multisig de Gnosis Safe desplegado en la red principal desde hace algún tiempo y, debido a un error interno, comunicamos el mismo monedero para la dirección receptora. «
Secuencia de eventos
Cuando el equipo de Wintermute descubrió el error el 30 de mayo, afirmó que los fondos, aunque en la dirección equivocada, seguían estando a salvo porque eran inaccesibles. Sin embargo, parece que alguien ha conseguido hacerse con las fichas, ya que han sido trasladadas a otra dirección.
Como se indica en el comunicado de prensa oficial de Wintermute, el individuo ya ha vendido un millón de ellos en el momento de escribir
Desgraciadamente, un atacante fue capaz de desplegar el multisig en la capa 2 con diferentes configuraciones de inicialización antes de que la operación de recuperación se completara y tomó el control de los 20 millones de tokens OP. Esta dirección ha vendido desde entonces 1 millón de tokens, y puede vender fácilmente el resto. «
El ladrón envió los tokens a Ethereum, antes de transferirlos a otra dirección de cartera a través de Tornado Cash, una práctica común en los hackeos para borrar los registros de las transacciones y hacer que los fondos sean imposibles de rastrear.
Sin embargo, Wintermute ha admitido plenamente su error y se ha comprometido a reembolsar todas las fichas que se vendan desde esta dirección. Esto ya se ha hecho para el millón de OPs ya vendidos.
Más allá de la posibilidad de revender los 20 millones de tokens, el atacante también podría hacer un uso masivo de los tokens para influir en las votaciones de gobernanza de la organización autónoma descentralizada (DAO). Un escenario que aún no se ha producido, pero que permanece bajo la atenta mirada de los equipos de Optimism.
El atacante aún tiene una semana para devolver los fondos
En su comunicado, Wintermute menciona la posibilidad de que el atacante sea posiblemente un sombrero blanco y acabe devolviendo los 19 millones de tokens aún almacenados en la dirección original. Sin embargo, según ellos, esta no es la vía más probable, sobre todo porque su mensaje al hacker quedó sin respuesta.
El equipo encargado del proyecto envió un mensaje al atacante a través de su comunicado de prensa oficial, mencionando en particular la posibilidad de colaboración:
«La forma en que se está llevando a cabo el proyecto es tener el nombre del hacker en el sitio web.
«La forma en que se ha llevado a cabo el ataque es bastante impresionante y puede que incluso consideremos la posibilidad de realizar consultas u otras formas de cooperación en el futuro. «
Sin embargo, parece que es doble o nada para el atacante, con Wintermute indicando que si es necesario, se tomarán las medidas necesarias para dañarlo:
» Tienes una semana para considerar convertirte en un sombrero blanco. En el caso de que lo anterior no ocurra, nos comprometemos al 100% a devolver todos los fondos, a localizar a la persona o personas responsables del exploit, a doxxarlas [revelar su identidad públicamente] por completo y a entregarlas a la justicia correspondiente. Considera tus opciones y elige ser bueno y optimista en lugar de vivir con miedo».
Hasta entonces, Optimism ha devuelto 20 millones de nuevos tokens OP a Wintermute, para no poner en peligro los planes iniciales de proporcionar liquidez a las bolsas que ofrecen el token OP.
