Dit is een kleine maar potentieel kostbare fout. De tweedelijnsoplossing Optimism (OP) zou 20 miljoen van zijn tokens naar de organisatie Wintermute sturen, maar Wintermute heeft niet het juiste adres doorgegeven. Als gevolg daarvan zijn miljoenen OP tokens naar het verkeerde adres gestuurd, en zijn nu in handen van een onbekend individu die al begonnen is met het overmaken van een aantal van hen via Tornado Cash.
Optimism misplaatst 20 miljoen OP tokens
Bij Ethereum (ETH) laag 2-oplossing Optimism, dat onlangs zijn eerste airdrop lanceerde, werd $15 miljoen aan OP-tokens gestolen door een transactiefout.
Hey mensen–in het belang van transparantie, willen we graag wat details delen over een lopende situatie:https://t.co/915vIgRIJG
Samenvatting hieronder
– Optimisme (✨_✨) (@optimismPBC) Juni 8, 2022
Optimism stuurde twee weken geleden 20 miljoen OP-tokens (ongeveer $ 15 miljoen) naar de Wintermute-organisatie via het speciale partnerfonds van het netwerk, met name om liquiditeit te bieden aan exchanges.
De organisatie zond echter haar laag 1-adres door, en niet het laag 2-adres waarop Optimism opereert. Als gevolg daarvan werd 15 miljoen dollar aan OP tokens overgemaakt… naar het verkeerde adres.
Bij het communiceren van het portefeuille adres aan het Optimisme team, hebben we een ernstige fout gemaakt. We hadden al een tijdje een Gnosis Safe multisig wallet op het mainnet en door een interne fout hebben we dezelfde wallet doorgegeven voor het ontvangende adres. “
Opeenvolging van gebeurtenissen
Toen het team van Wintermute de fout op 30 mei ontdekte, beweerden zij dat de fondsen, hoewel op het verkeerde adres, veilig bleven omdat zij ontoegankelijk waren. Iemand schijnt er echter in geslaagd te zijn de lopers te bemachtigen, want zij zijn naar een ander adres overgebracht.
Zoals in het officiële persbericht van Wintermute staat, heeft het individu er op het moment van schrijven al een miljoen van verkocht
Helaas was een aanvaller in staat om de multisig op laag 2 te implementeren met verschillende initialisatie-instellingen voordat de hersteloperatie voltooid was en nam de controle over de 20 miljoen OP tokens over. Dit adres heeft sindsdien 1 miljoen tokens verkocht, en kan gemakkelijk de rest verkopen. “
De dief stuurde de munten naar Ethereum, voordat hij ze via Tornado Cash naar een ander wallet-adres overbracht, een veel voorkomende praktijk bij hacks om transactiegegevens te wissen om de fondsen onvindbaar te maken.
Wintermute heeft zijn fout echter volledig toegegeven, en heeft toegezegd elk token dat vanaf dit adres wordt verkocht, terug te betalen. Dit is al gedaan voor de 1 miljoen OP’s die al verkocht zijn.
Naast de mogelijkheid om de 20 miljoen tokens door te verkopen, zou de aanvaller ook massaal gebruik kunnen maken van de tokens om de bestuursstemmen van de gedecentraliseerde autonome organisatie (DAO) te beïnvloeden. Een scenario dat zich nog niet heeft voorgedaan, maar dat onder het wakend oog van de Optimism-teams blijft.
De aanvaller heeft nog een week om het geld terug te storten
In zijn verklaring vermeldt Wintermute de mogelijkheid dat de aanvaller mogelijk een white hat is en uiteindelijk de 19 miljoen tokens die nog op het oorspronkelijke adres waren opgeslagen, zal teruggeven. Volgens hen is dit echter niet de meest waarschijnlijke weg, vooral omdat hun bericht aan de hacker onbeantwoord bleef.
Het team dat verantwoordelijk is voor het project stuurde de aanvaller een bericht via zijn officiële persbericht, waarin het met name melding maakte van de mogelijkheid tot samenwerking:
“De manier waarop het project wordt geleid is om de naam van de hacker op de website te hebben.
“De manier waarop de aanval werd uitgevoerd, is indrukwekkend en we kunnen zelfs overwegen om in de toekomst overleg te plegen of andere vormen van samenwerking aan te gaan. “
Het lijkt er echter op dat het dubbel of niets is voor de aanvaller, met Wintermute die aangeeft dat indien nodig, de nodige stappen zullen worden ondernomen om hem iets aan te doen:
” Je hebt een week om te overwegen een witte hoed te worden. In het geval dat het bovenstaande niet gebeurt, zijn we 100% toegewijd om alle fondsen terug te geven, de persoon (personen) die verantwoordelijk zijn voor het misbruik op te sporen, hen te doxxen [hun identiteit publiekelijk bekend te maken] en hen uit te leveren aan het relevante rechtsstelsel. Overweeg je opties en kies voor het goede en optimisme in plaats van te leven in angst. “
Tot die tijd heeft Optimism 20 miljoen nieuwe OP-tokens teruggegeven aan Wintermute, om de aanvankelijke plannen om liquiditeit te verschaffen aan beurzen die het OP-token aanbieden, niet in gevaar te brengen.
