Optimism теряет 20 миллионов токенов из-за путаницы L1 и L2

Период медового месяца для решения масштабирования уровня 2 Optimism был прерван, поскольку эксплойт в смарт-контракте его маркет-мейкера привел к потере 20 миллионов токенов OP.

Эксплойт произошел 26 мая, но о нем только что сообщили сообществу. Один миллион токенов на сумму около 1,3 миллиона долларов был продан 5 июня. Еще один миллион токенов на сумму около 730 000 долларов был переведен на адрес Ethereum Виталика Бутерина в сети Optimism сегодня утром в 00:26 UTC. Остальные токены пока бездействуют, но могут быть проданы в любое время или использованы для изменения решений управления.

Привет, ребята, в интересах прозрачности мы хотели бы поделиться некоторыми подробностями о текущей ситуации: https://t.co/915vIgRIJG Резюме ниже — Оптимизм (✨_✨) (@optimismPBC) 8 июня 2022 г.

Токены OP являются нативными токенами для Optimism Layer-2 (L2), и часть поставок была разослана пользователям сети 1 июня. Решения L2 помогают уменьшить перегрузку на блокчейне уровня 1, таком как Ethereum.

В кратком обзоре событий, подготовленном командой Optimism в четверг, подробно описано, как 20 миллионов токенов OP предназначались для использования фирмой по созданию криптовалютного рынка Wintermute. После отправки двух тестовых транзакций команда Optimism отправила полную сумму токенов.

Однако Wintermute обнаружил, что не может получить доступ к токенам, потому что смарт-контракт, который он использовал для приема токенов, все еще находился на L1 и не был обновлен для развертывания в Optimism. Эта техническая оплошность открыла контракт для атаки, в ходе которой злоумышленники сами взяли под свой контроль контракт на L2.

Как только Wintermute узнала о проблеме, она «начала операцию по восстановлению с целью развернуть мультиподписной контракт L1 по тому же адресу на L2», но его попытка исправить ситуацию была слишком запоздалой.

«Злоумышленник смог развернуть мультиподпись на L2 с другими параметрами инициализации до того, как операция восстановления была завершена, и получил контроль над 20 миллионами токенов OP».

Контракт с мультиподписью требует одобрения нескольких держателей ключей для выполнения транзакции.

В сообщении от 9 июня сообществу Optimism Винтермьют взял на себя полную ответственность за эксплойт. Фирма заявила, что будет осуществлять OP-выкупы, равные сумме, которую продает эксплуататор, в качестве средства «сделать все возможное, чтобы сгладить последствия» волатильности цен.

Wintermute также предложил принять инцидент как эксплуатацию белой шляпы, если хакер согласится вернуть 19 миллионов токенов в течение одной недели. Это предложение было сделано до того, как хакер перевел еще один миллион токенов.

Ответы на сообщение Wintermute в основном аплодировали фирме за ее прозрачность в раскрытии проблемы и за то, что она взяла на себя вину за то, что произошло.

Связанный: Хакер пробует собственное лекарство, поскольку сообщество возвращает украденные NFT

В краткосрочной перспективе команда Optimism предоставила Wintermute дополнительный грант в размере 20 миллионов OP, «чтобы они могли продолжать свою работу по мере развития событий». Но команда также указала, что такие усилия по созданию рынка носят временный характер.

«Сообщество не должно ожидать или полагаться на Optimism Foundation для поддержки усилий по предоставлению ликвидности в будущем».

Некоторые токены $OP были украдены. Оптимизм борется с идеей о том, следует ли использовать мультиподпись, чтобы забрать токены у вора. В этом твите они говорят: «Мы могли бы это сделать… но тогда вы все нас возненавидите… так что мы не будем… пока». ОПАСНАЯ ЦЕНТРАЛИЗАЦИЯ.https://t.co/p7JiPY2TzU— Крис Блек (@ChrisBlec) 8 июня 2022 г.

Ведущий подкаста Proof of Decentralization Крис Блек сказал, что команда рассматривала (но отказалась) восстановить контроль над украденными средствами, выполнив модернизацию сети. Это означало, что, по его мнению, Optimism (как и большинство проектов DeFi с ключами администратора) «ОПАСНО ЦЕНТРАЛИЗОВАН».

Блек также предположил, что наиболее очевидное объяснение эксплойтов связано с теми, кто был наиболее тесно связан, а это означает, что кто-то, связанный с Wintermute, мог сам совершить атаку. Он спросил: «Почему все в этом пространстве всегда так против проверки самых очевидных возможностей?»На данном этапе нет никаких доказательств, подтверждающих эту теорию.

По данным CoinGecko, инвесторы OP негативно отреагировали на обновление, поскольку цена токена упала на 31,2%, торгуясь на уровне 0,76 доллара за последние 24 часа.