- Виталик Бутерин и эксперт по безопасности Ethereum Йоав Вайс получили по одному миллиону токенов OP от белого хакера.
- Маркетмейкер Wintermute взял на себя ответственность за взлом и пообещал вернуть украденные средства.
Решение для масштабирования второго уровня в Ethereum — Optimism — запустило свой токен управления OP в начале этого месяца. Однако с момента запуска у него возникли серьезные проблемы.
В четверг, 8 июня, компания Optimism заявила, что случайно отправила 20 миллионов токенов OP, предназначенных для коллективного DAO Optimism, по неправильному адресу. Хакер воспользовался этой возможностью и украл все 20 миллионов токенов OP.
Прежде чем мы перейдем к пониманию того, как произошел взлом, еще один поворот в этой истории заключается в том, что хакер отправил почти 1 миллион токенов OP основателю Ethereum Виталику Бутерину. Это подтвердил и детектор краж PeckShield.
#PeckShieldAlert ~1m $OP transfered to @VitalikButerin from Wintermute/OP exploiters https://t.co/U1c2MyeObE pic.twitter.com/wdLOd0XveC
— PeckShieldAlert (@PeckShieldAlert) June 9, 2022
Хакер не использовал использование токенов OP для манипулирования управлением на Optimism. Вместо этого хакер предоставил 1 миллион прав голоса OP эксперту по безопасности Ethereum Foundation Йоаву Вайсу. Как раз когда Йоав объяснял последовательность взлома, он тоже получил 1 миллион токенов OP. Исходя из происходящего, Вайс считает, что это может быть whitehat-эксплойт. Он написал:
И сюжет закручивается. Пока я писал это объяснение, атакующий делегировал право голоса 1M OP *мне*. Спасибо за делегирование 🙂 Подсказка: нет, я не атакующий и я не знаю, кто это. Но теперь догадываюсь, что это белый хакер.
События взлома Optimism
Родные токены OP компании Optimism служат управляющими токенами для ее DAO. Для распространения этих 20 миллионов токенов OP посредством airdrop компания Optimism наняла маркет-мейкера Wintermute. Прежде чем отправить 20 миллионов токенов OP на Wintermute на прошлой неделе, Optimism провела две успешные тестовые транзакции. Однако когда они наконец отправили эти 20 миллионов токенов OP, Wintermute заявил, что эта сумма для них недоступна.
Так как же это произошло? Как и Polygon, Optimism также является решением второго уровня масштабируемости для Ethereum. Однако такие решения сопряжены с определенными рисками. В данном случае Optimism отправил 20 миллионов токенов OP на Ethereum-адрес Wintermute (L1). Но поскольку адрес не был развернут/синхронизирован с адресом Optimism (L2), средства остались недоступными или плавающими на L1. Хакер воспользовался этой ситуацией.
Компания Wintermute взяла на себя полную ответственность за ошибку. Она также призвала хакера вернуть украденные средства Optimism. Wintermute также заявила, что готова сотрудничать с хакером для любых консультационных возможностей в будущем. Wintermute предоставила хакеру недельный срок для ответа. После этого компания начнет отслеживать хакера и вернет средства.
Wintermute later discovered they could not access these tokens, because the provided address was for an Ethereum/L1 multisig that they had not yet deployed to Optimism/L2. They began a recovery operation with the goal to deploy the L1 multisig contract to the same address on L2.
— Optimism (@Optimism) June 8, 2022
Сотрудники Wintermute также сообщили фонду «Оптимизм», что средства потенциально можно получить, проведя одноразовую операцию с высоким риском. После взлома компания Wintermute уже приобрела один миллион токенов OP.
Однако все эти события оставили в сознании инвесторов плохую репутацию токенов OP. С момента запуска цена токенов OP прошла через 80% коррекцию. В настоящее время каждый токен OP торгуется по цене $0,82.