Fundacja Optymizm wydała oświadczenie potwierdzenie, że tokeny PO 20M przeznaczone dla partnera zapewniającego płynność zostały wysłane na zły adres. Cena tokena OP spadła z 1.12 dolara 8 czerwca do zaledwie 0.70 dolara po tej wiadomości. W oświadczeniu czytamy,
„Fundacja Optymizm zaangażowała Wintermute do świadczenia usług zapewnienia płynności… tymczasowo przyznano Wintermute ze środków Fundacji tymczasową dotację w wysokości 20 milionów tokenów OP Fundusz Partnerski.
Wintermute podał adres, na który można otrzymać pożyczone tokeny. Fundacja Optymizmu wysłała dwie oddzielne transakcje testowe, a po potwierdzeniu każdej z nich przez Wintermute'a wysłała resztę. Niestety Wintermute odkrył później, że nie mógł uzyskać dostępu do tych tokenów, ponieważ podał adres multisig Ethereum (L1), którego jeszcze nie wdrożył w Optimism (L2).”
Partner zatrudniony w celu ułatwienia świadczenia usług płynnościowych nie korzystał z produktu, do obsługi którego zatrudnił go firma Optimism. Chociaż zimamute twierdzi, że jest „wiodącym światowym animatorem rynku algorytmicznego aktywów cyfrowych”, popełnił coś, co można uznać za podstawowy błąd w kryptografii, zwłaszcza dla algorytmicznego animatora rynku.
W zamian Wintermute ma:
"zobowiązał się do odkupienia utraconych tokenów. Będą monitorować adres, pod którym znajdują się utracone tokeny, i kupować, gdy ten adres się sprzedaje”.
Proces odzyskiwania
Optymizm stwierdził, że Wintermute próbował rozwiązać sytuację bez konieczności odkupiania tokenów, ponieważ „rozpoczął operację odzyskiwania mającą na celu wdrożenie kontraktu multisig L1 pod tym samym adresem na L2”. Optymizm twierdzi jednak:
„osoba atakująca była w stanie wdrożyć multisig na poziomie L2 z różnymi parametrami inicjalizacji przed zakończeniem tych wysiłków, przejmując własność OP 20m”.
Popełniając ten błąd, Wintermute w zasadzie zostawił 20 milionów tokenów OP na ulicy, aby każdy mógł je odebrać, wdrażając kontrakt Optimism L2 pod wskazany adres. Dlatego nazywanie nowego właściciela „napastnikiem” może być postrzegane jako działanie PR. kwestionowanie zasadności „exploitu” lub „hacka”. Od tego czasu panuje optymizm zgłaszane że z portfela sprzedano 1 milion OP.
Ktokolwiek uzyskał dostęp do portfela, niewątpliwie wykonał etycznie szare posunięcie, wykorzystując nieudolność zautomatyzowanego animatora rynku. Jednak ostatnie oświadczenie Wintermute sugeruje, że w tej sytuacji było coś więcej niż proste, inteligentne wdrożenie kontraktu.
Odpowiedź Wintermute'a
Wintermute napisał: odpowiedź do społeczności Optimism za pośrednictwem forum zarządzania. W nim zespół wyjaśnił:
„Kiedy przekazywaliśmy adres portfela zespołowi Optimism, popełniliśmy poważny błąd. Przez jakiś czas w sieci głównej zainstalowaliśmy sejf Gnosis i z powodu wewnętrznego błędu przesłaliśmy ten sam portfel, co adres odbiorcy.
W poście potwierdzono, że „nie było to mądre posunięcie”. Wygląda jednak na to, że stało się to 30 maja, dzień przed uruchomieniem Optimism w głównej sieci.
Następnie Wintermute objął w posiadanie kolejne 20 milionów OP, „dostarczając 50 milionów dolarów USDC jako zabezpieczenie”. Jednak osoba trzecia, „atakujący”, odzyskała fundusze szybciej niż Wintermute:
„kontynuował atak polegający na powtórzeniu, odtwarzając wdrożenie Gnosis Safe MasterCopy 1.1.1 z sieci głównej Eth. Następnie wykorzystali wcześniej wdrożony kontrakt 0xE714… do wdrożenia skarbców w partiach po 162.”
Następnie Wintermute wyjaśnił, że skomplikowaną metodą stosowaną przez zewnętrzną stronę trzecią w celu uzyskania dostępu do środków jest depozyt Tornado Cash. Przedstawienie rzeczywiście sprawia wrażenie, że miał miejsce złożony atak.
Rzeczywiście Wintermute pochwalił atak, stwierdzając, że „atak został przeprowadzony, był raczej imponujący”, zanim nawet zaoferował im „możliwości konsultacji”, jeśli zwrócą fundusze.
W obliczu bardzo żenującej sytuacji społeczność kryptowalut nie jest skłonna do kupna historia; Niedźwiedź Baron Hellspawn powiedział:
„Albo godzina amatorska prowadzona przez tak zwanego „dostawcę płynności”
Albo praca wewnątrz firmy. Ponieważ jeśli nie zrobisz jakiegoś gówna voodoo, nie możesz założyć, że tokeny $OP zostaną przesłane pod bardzo KONKRETNY adres.
Wintermute zakończył swoje oświadczenie groźbą skierowaną do „atakującego” stwierdzającą:
„Jesteśmy w 100% zaangażowani w zwrot wszystkich środków, śledzenie osób odpowiedzialnych za exploit, pełne ich zabezpieczenie i dostarczenie do odpowiedniego systemu prawnego. Pamiętaj, że złodziejom za każdym razem trzeba dopisać szczęście. Policjantowi wystarczy szczęście tylko raz.
Wintermute bierze obecnie udział w konferencji Consensus 2022 w Teksasie, która rozpoczyna się 9 czerwca. CryptoSlate skontaktował się zarówno z dyrektorem generalnym, jak i dyrektorem operacyjnym, ale do chwili publikacji nie otrzymano żadnej odpowiedzi.
Źródło: https://cryptoslate.com/optimism-foundation-sends-20m-to-the-wrong-wallet-op-drops-36/