Questo è un errore piccolo ma potenzialmente costoso. La soluzione di secondo livello Optimism (OP) avrebbe dovuto inviare 20 milioni dei suoi token all’organizzazione Wintermute, ma quest’ultima non ha fornito l’indirizzo giusto. Di conseguenza, milioni di token OP sono stati inviati all’indirizzo sbagliato e sono ora nelle mani di un individuo sconosciuto che ha già iniziato a trasferirne alcuni tramite Tornado Cash.
Optimismo smarrisce 20 milioni di gettoni OP
La soluzione di livello 2 di Ethereum (ETH) Optimism, che ha recentemente lanciato il suo primo airdrop, ha subito il furto di 15 milioni di dollari in token OP a causa di un errore di transazione.
Ehi gente, nell’interesse della trasparenza, vorremmo condividere alcuni dettagli su una situazione in corso:https://t.co/915vIgRIJG
Riassunto qui sotto
– Ottimismo (✨_✨) (@ottimismoPBC) 8 giugno 2022
Optimism ha inviato due settimane fa 20 milioni di token OP (circa 15 milioni di dollari) all’organizzazione Wintermute attraverso il fondo dedicato ai partner della rete, in particolare per fornire liquidità agli scambi.
Tuttavia, l’organizzazione ha trasmesso il suo indirizzo di livello 1 e non quello di livello 2 su cui opera Optimism. Di conseguenza, 15 milioni di dollari di token OP sono stati trasmessi… all’indirizzo sbagliato.
“Nel comunicare l’indirizzo del portafoglio al team di Optimism, abbiamo commesso un grave errore. Abbiamo avuto un portafoglio Gnosis Safe multisig distribuito sulla mainnet per un po’ di tempo e, a causa di un errore interno, abbiamo comunicato lo stesso portafoglio per l’indirizzo ricevente. “
“.
Sequenza di eventi
Quando il 30 maggio il team di Wintermute ha scoperto l’errore, ha affermato che i fondi, sebbene all’indirizzo sbagliato, erano rimasti al sicuro perché inaccessibili. Tuttavia, sembra che qualcuno sia riuscito a impossessarsi dei gettoni, che sono stati spostati a un altro indirizzo.
Come si legge nel comunicato stampa ufficiale di Wintermute, al momento della stesura di
il singolo ha già venduto un milione di pezzi.
Purtroppo, un utente malintenzionato è stato in grado di distribuire il multisig sul livello 2 con diverse impostazioni di inizializzazione prima che l’operazione di recupero fosse completata e ha preso il controllo dei 20 milioni di token OP. Questo indirizzo ha venduto 1 milione di token e può facilmente vendere il resto. “
Il ladro ha inviato i token a Ethereum, prima di trasferirli a un altro indirizzo di portafoglio tramite Tornado Cash, una pratica comune negli hacker per cancellare i record delle transazioni e rendere i fondi non rintracciabili.
Wintermute ha tuttavia ammesso pienamente il proprio errore e si è impegnata a rimborsare tutti i gettoni venduti a questo indirizzo. Questo è già stato fatto per il milione di OP già venduti.
Oltre alla possibilità di rivendere i 20 milioni di token, l’attaccante potrebbe anche fare un uso massiccio dei token per influenzare le votazioni della governance dell’organizzazione autonoma decentralizzata (DAO). Uno scenario che non si è ancora verificato, ma che rimane sotto l’occhio vigile delle squadre di Optimism.
Nella sua dichiarazione, Wintermute menziona la possibilità che l’aggressore sia un white hat e che alla fine restituisca i 19 milioni di token ancora memorizzati sull’indirizzo originale. Tuttavia, secondo loro, questa non è la strada più probabile, soprattutto perché il loro messaggio all’hacker è rimasto senza risposta.
Il team responsabile del progetto ha inviato un messaggio all’attaccante tramite il suo comunicato stampa ufficiale, menzionando in particolare la possibilità di collaborazione:
“Il modo in cui il progetto viene gestito è quello di avere il nome dell’hacker sul sito web.
“Il modo in cui è stato condotto l’attacco è piuttosto impressionante e potremmo anche prendere in considerazione consultazioni o altre forme di cooperazione in futuro “
Tuttavia, sembrerebbe che per l’attaccante sia il doppio o il nulla, con Wintermute che indica che, se necessario, saranno prese le misure necessarie per fargli del male:
Avete una settimana di tempo per prendere in considerazione l’idea di diventare un white hat. Nel caso in cui non si verifichi quanto sopra, ci impegniamo al 100% a restituire tutti i fondi, a rintracciare la persona o le persone responsabili dell’exploit, a doxxizzarle [rivelandone pubblicamente l’identità] completamente e a consegnarle al sistema legale competente. Considerate le vostre opzioni e scegliete di essere buoni e ottimisti invece di vivere nella paura. “
Fino ad allora, Optimism ha restituito 20 milioni di nuovi token OP a Wintermute, per non compromettere i piani iniziali di fornire liquidità agli exchange che offrono il token OP.
