Optimisme kehilangan 20 juta token setelah kebingungan L1 dan L2 dieksploitasi

Periode bulan madu untuk solusi penskalaan lapisan-2 Optimisme telah dipersingkat karena eksploitasi dalam kontrak pintar pembuat pasarnya menyebabkan hilangnya 20 juta token OP.

Itumengeksploitasi terjadi 26 Mei namun baru dilaporkan ke masyarakat. Satu juta token senilai sekitar $1,3 juta terjual pada 5 Juni. Satu juta token tambahan senilai sekitar $730.000 dijualditransfer ke alamat Ethereum Vitalik Buterin di Optimism hari ini pukul 12:26 UTC. Token yang tersisa tidak aktif untuk saat ini tetapi dapat dijual kapan saja atau digunakan untuk memengaruhi keputusan tata kelola.

Hai teman-teman--demi kepentingan transparansi, kami ingin membagikan beberapa detail tentang situasi yang sedang berlangsung:https://t.co/915vIgRIJG

Ringkasan di bawah ini

— Optimisme (✨_✨) (@optimismePBC)8 Juni 2022

Token OP adalah token asli untuk OptimismeLapisan-2 (L2) dan sebagian pasokan dikirimkan ke pengguna jaringan pada 1 Juni. Solusi L2 membantu mengurangi kemacetan pada blockchain layer-1 seperti Ethereum.

Ringkasan dariacara dari tim Optimism pada hari Kamis merinci bagaimana 20 juta token OP dimaksudkan untuk digunakan oleh perusahaan pembuat pasar crypto Wintermute. Setelah mengirimkan dua transaksi percobaan, tim Optimism mengirimkan token dalam jumlah penuh.

Namun Wintermute menemukan bahwa itu tidak dapat mengakses token karenakontrak pintar dulu menerima token masih di L1 dan belum diperbarui untuk digunakan di Optimisme. Pengawasan teknis ini membuka kontrak untuk serangan di mana aktor jahat mengambil alih kontrak di L2 sendiri.

Segera setelah Wintermute menyadari masalah tersebut, ia “memulai operasi pemulihan dengan tujuan untuk menerapkan kontrak multisig L1 ke alamat yang sama di L2”, tetapi upayanya untuk memperbaiki situasi sudah terlambat.

“Seorang penyerang dapat menyebarkan multisig ke L2 dengan parameter inisialisasi yang berbeda sebelum operasi pemulihan selesai dan mengambil kendali atas 20 juta token OP.”

Kontrak multisig membutuhkan persetujuan dari beberapa pemegang kunci untuk melakukan transaksi.

Pada tanggal 9 Junipesan kepada komunitas Optimisme, Wintermute bertanggung jawab penuh atas eksploitasi tersebut. Perusahaan tersebut menyatakan akan melakukan pembelian kembali OP sama dengan jumlah yang dijual oleh pengeksploitasi sebagai cara untuk melakukan "upaya terbaik untuk memuluskan efek" volatilitas harga.

Wintermute juga menawarkan untuk menerima insiden tersebut sebagai eksploitasi topi putih jika peretas setuju untuk mengembalikan 19 juta token dalam satu minggu. Tawaran ini dibuat sebelum peretas mentransfer satu juta token lagi.

Balasan untuk pesan Wintermute sebagian besar memuji perusahaan atas transparansi dalam mengungkap masalah dan menerima kesalahan atas apa yang terjadi.

Terkait:Peretas mencicipi obatnya sendiri saat komunitas mendapatkan kembali NFT yang dicuri

Dalam jangka pendek, tim Optimism telah memberi Wintermute tambahan 20 juta hibah OP "sehingga mereka dapat melanjutkan pekerjaan mereka seiring berjalannya waktu." Tetapi tim juga menunjukkan bahwa upaya pembuatan pasar seperti itu bersifat sementara.

“Masyarakat tidak boleh mengharapkan atau mengandalkan Yayasan Optimisme untuk mendukung upaya penyediaan likuiditas di masa depan.”

Beberapa$OP token dibajak.

Optimisme bergulat dengan gagasan apakah harus menggunakan multisig untuk mengambil kembali token dari pencuri.

Dalam tweet ini, mereka mengatakan "kami bisa melakukannya.. tapi kemudian kalian semua akan membenci kami.. jadi kami tidak akan.. untuk saat ini."

TERSENTRALISASI BERBAHAYA.https://t.co/p7JiPY2TzU

— Chris Blec (@ChrisBlec)8 Juni 2022

Pembawa acara podcast Proof of Decentralization, Chris Blec, mengatakan bahwa timnya telah melakukannyadipertimbangkan (tetapi ditolak) mendapatkan kembali kendali atas dana yang dicuri dengan melakukan peningkatan jaringan. Ini berarti bahwa dalam pandangannya, Optimisme (seperti kebanyakan proyek DeFi dengan kunci admin) adalah "SENTRALISASI BERBAHAYA".

Blec juga menyarankan bahwa penjelasan yang paling jelas untuk eksploitasi melibatkan mereka yang paling dekat terlibat, yang berarti seseorang yang terlibat dengan Wintermute mungkin telah melakukan serangan itu sendiri. Diadiminta , "Mengapa semua orang di ruang ini selalu menentang pemeriksaan kemungkinan yang paling jelas?" Tidak ada bukti pada tahap ini untuk mendukung teori ini.

Investor OP telah menanggapi pembaruan secara negatif karena harga token turun 31,2% diperdagangkan pada $0,76 selama 24 jam terakhir menurutCoinGecko .