これは小さなミスですが、大きな代償を払う可能性があります。第2層のソリューションであるOptimism(OP)は、そのトークン2000万個を組織Wintermuteに送ることになっていたが、Wintermuteが正しいアドレスを提供しなかった。その結果、数百万個のOPトークンが誤ったアドレスに送られ、現在、見知らぬ個人の手に渡り、その一部はすでにトルネードキャッシュ経由で転送され始めています。
オプティミズムは2000万OPトークンを誤発注
。
先日、初のエアドロップを開始したイーサリアム(ETH)レイヤー2ソリューションのOptimismが、取引エラーにより1500万ドルのOPトークンを盗まれました
..続きを読む
皆さん–透明性を高めるために、現在進行中の状況について詳細をお伝えしたいと思います。https://t.co/915vIgRIJG
以下まとめ
– オプティミズム (@optimismPBC) June 8, 2022
W
」。
Optimismは2週間前、特に取引所に流動性を提供するために、ネットワークの専用パートナーファンドを通じて2000万OPトークン(約1500万ドル)をWintermute組織に送りました。
しかし、この組織はレイヤー1のアドレスを送信し、Optimismが動作するレイヤー2のアドレスは送信しませんでした。その結果、1500万ドル分のOPトークンが誤ったアドレスに…送信されました。
「Optimismチームにウォレットアドレスを伝える際、重大なミスを犯してしまったのです。以前からメインネットにGnosis Safeのマルチシグウォレットを展開していましたが、内部エラーにより受信アドレスに同じウォレットを通信してしまいました。”
“です。
シーケンス
5月30日にミスを発見したWintermuteチームは、資金は間違ったアドレスにあるものの、アクセスできないため安全が保たれていると主張しました。しかし、誰かがトークンを手に入れることに成功したようで、トークンは別の住所に移された。
ウィンターミュートの公式プレスリリースにあるように、本人は「
」執筆時点ですでに100万枚を売り上げている。
残念ながら、攻撃者は復旧作業が完了する前に、異なる初期化設定でレイヤー2にマルチシグを展開し、2000万個のOPトークンを制御することができたのです。このアドレスはその後100万トークンを販売し、残りも簡単に販売できる。”
泥棒はトークンをイーサリアムに送った後、トルネードキャッシュ経由で別のウォレットアドレスに移しました。これは、資金を追跡不可能にするために取引記録を消去するハッキングでよく行われる手法です。
しかし、Wintermuteはこの誤りを完全に認め、このアドレスで販売されたトークンをすべて返金することを約束しました。これは、すでに販売されている100万台のOPに対して行われています。
2000万トークンを転売する可能性以外にも、攻撃者はトークンを大量に利用して、分散型自律組織(DAO)のガバナンスの投票に影響を与えることも可能です。まだ起きていないシナリオだが、オプティミズムのチームが見守る中
The attacker has still a week to return funds
Wintermuteは声明の中で、攻撃者はおそらくホワイトハットであり、最終的に元のアドレスにまだ保存されている1900万トークンを返還する可能性に言及しています。しかし、彼らによると、これは最も可能性の高いルートではなく、特にハッカーにメッセージを送っても返事がないことから、このルートはありえないとのことです。
プロジェクトの担当チームは、公式プレスリリースを通じて攻撃者にメッセージを送り、特にコラボレーションの可能性について言及しました:
「プロジェクトの運営方法は、ハッカーの名前をウェブサイトに掲載することです。
「今回の攻撃のやり方は非常に印象的で、将来的には協議などの協力も考えられる」
。
しかし、攻撃者にとっては、ダブル・オア・ナッシングのようで、ウィンターミュートは、必要ならば、彼を傷つけるために必要な手段を講じることを示唆している:
” 1週間以内にホワイトハットになることを検討してください。万が一、上記のような事態が発生した場合、私たちはすべての資金を返却し、悪用した人物を突き止め、完全にDoxing(身元を公にする)し、関連する法制度に引き渡すことを100%約束します。選択肢を考え、恐怖の中で生きるのではなく、善良で楽観的であることを選択するのです」
。
それまでは、OPトークンを提供する取引所への流動性提供という当初の計画を危うくしないよう、Optimismは2000万個の新しいOPトークンをWintermuteに返却しています
。
