Оптимізм втрачає 20 млн токенів після використання плутанини L1 і L2

Оптимізм втрачає 20 млн токенів після використання плутанини L1 і L2

Період медового місяця для рішення масштабування рівня Optimism 2 був скорочений, оскільки експлойт в смарт-контракті його маркет-мейкера призвів до втрати 20 мільйонів токенів OP.

The експлуатувати відбувся 26 травня, але про нього щойно повідомили громаді. 5 червня було продано мільйон токенів вартістю близько 1,3 мільйона доларів США. Ще один мільйон токенів вартістю близько 730 тисяч доларів передано на адресу Ethereum Віталіка Бутеріна на Optimism сьогодні о 00:26 UTC. Решта токенів поки що неактивні, але їх можна продати в будь-який час або використовувати для прийняття управлінських рішень.

Токени OP є рідним маркером для оптимізму Шар-2 (L2), і частина поставок була передана користувачам мережі 1 червня. Рішення L2 допомагають зменшити перевантаження на блокчейні рівня 1, такому як Ethereum.

Резюме про події команда Optimism у четвер детально розповіла, як 20 мільйонів токенів OP планувалося використовувати фірмою з виробництва криптовалют Wintermute. Після відправки двох тестових транзакцій команда Optimism надіслала повну кількість токенів.

Однак Wintermute виявив, що не може отримати доступ до токенів, оскільки смарт-контракт раніше він приймав токени все ще був на L1 і не був оновлений для розгортання на Optimism. Ця технічна помилка призвела до атаки, під час якої поганий актор сам взяв під контроль контракт на L2.

Щойно Wintermute дізнався про проблему, він «розпочав операцію відновлення з метою розгорнути контракт L1 multisig на ту саму адресу на L2», але його спроба виправити ситуацію була надто пізною.

«Зловмисник зміг розгорнути мультипідпис на L2 з різними параметрами ініціалізації до завершення операції відновлення та взяв під контроль 20 мільйонів токенів OP».

Контракт з кількома підписами вимагає схвалення кількох власників ключів для виконання транзакції.

У 9 червня повідомлення Для спільноти Optimism Wintermute взяв на себе повну відповідальність за експлойт. Фірма заявила, що здійснюватиме зворотний викуп ОП на суму, яку продає експлуататор, щоб зробити «найкращі зусилля для згладжування наслідків» волатильності цін.

Wintermute також запропонував прийняти цей інцидент як експлойт в білому капелюсі, якщо хакер погодиться повернути 19 мільйонів токенів протягом тижня. Ця пропозиція була зроблена до того, як хакер передав ще мільйон токенів.

Відповіді на повідомлення Wintermute здебільшого схвалювали фірму за її прозорість у розкритті проблеми та за прийняття провини за те, що сталося.

Пов’язані: Хакер куштує власні ліки, коли спільнота повертає вкрадені NFT

У короткостроковій перспективі команда Optimism надала Wintermute додатковий грант на ОП у розмірі 20 мільйонів, «щоб вони могли продовжувати свою роботу в міру розвитку подій». Але команда також зазначила, що подібні маркетологічні зусилля є тимчасовими.

«Громада не повинна очікувати чи покладатися на Фонд Оптимізму для підтримки зусиль із забезпечення ліквідності в майбутньому».

Ведучий подкасту «Доказ децентралізації» Кріс Блек сказав, що команда була розглянуто (але відхилено) відновлення контролю над вкраденими коштами шляхом оновлення мережі. Це означало, що, на його думку, Optimism (як і більшість проектів DeFi з ключами адміністратора) є «НЕБЕЗПЕЧНО ЦЕНТРАЛІЗОВАНИМ».

Блек також припустив, що найочевиднішим поясненням експлойтів є ті, хто найбільше залучений, тобто хтось, причетний до Wintermute, міг здійснити атаку самостійно. Він запитав, «Чому всі в цьому просторі завжди проти перевірки найбільш очевидних можливостей?» На даному етапі немає доказів на підтримку цієї теорії.

Інвестори OP негативно відреагували на оновлення, оскільки ціна токена знизилася на 31,2%, торгуючись до $0,76 за останні 24 години, відповідно до CoinGecko.