Optimism, 스마트 계약 취약점 악용 후 2천만 개의 OP 토큰 손실

Optimism 레이어 2 스케일링 솔루션의 허니문 기간은 마켓 메이커 스마트 계약의 버그로 인해 2천만 개의 OP 토큰이 손실된 후 단축되었습니다.

버그는 5월 26일에 발생했지만 방금 커뮤니티에 보고되었습니다. 약 130만 달러 상당의 100만 토큰이 6월 5일에 판매되었습니다. 약 $730,000 상당의 또 다른 1백만 개의 토큰이 오늘 UTC 오전 12:26에 Vitalik Buterin의 이더리움 주소로 전송되었습니다. 나머지 토큰은 현재 휴면 상태이지만 언제든지 판매하거나 거버넌스 결정에 영향을 미치는 데 사용할 수 있습니다.

안녕하세요 여러분, 투명성을 위해 현재 진행 중인 일에 대한 세부 정보를 공유하고자 합니다.

요약은 다음과 같습니다.

— 옵티미즘(✨_✨)(@optimismPBC) 2022년 6월 8일

OP 토큰은 Optimism Layer-2(L2)의 기본 토큰이며 공급량의 일부는 6월 1일 네트워크 사용자에게 에어드롭되었습니다. L2 솔루션은 이더리움과 같은 레이어 1 블록체인의 정체를 완화하는 데 도움이 됩니다.

목요일 Optimism 팀의 이벤트 요약에서는 Wintermute 암호화폐 시장 조성 회사가 2,000만 개의 OP 토큰을 어떻게 사용하려고 하는지 자세히 설명했습니다. 두 번의 테스트 트랜잭션을 보낸 후 Optimism 팀은 모든 토큰을 보냈습니다.

그러나 Wintermute는 토큰을 수락하는 데 사용한 스마트 계약이 여전히 L1에 있고 Optimism에 배포되도록 업데이트되지 않았기 때문에 토큰에 액세스할 수 없음을 발견했습니다. 이러한 기술적 감독으로 인해 계약이 손상되어 나쁜 행위자가 L2의 계약을 직접 제어할 수 있었습니다.

Wintermute가 이 문제를 알게 되었을 때 "L1 다중서명 계약을 L2의 동일한 주소에 배포하는 것을 목표로 복구 작업을 시작했지만" 상황을 해결하기에는 너무 늦었습니다.

"공격자는 복구 작업이 완료되기 전에 서로 다른 초기화 매개변수를 사용하여 L2에 멀티시그를 배포하고 2천만 개의 OP 토큰을 제어할 수 있었습니다."

다중 서명 계약은 트랜잭션을 실행하기 위해 여러 키홀더의 승인이 필요합니다.

6월 9일 Optimism 커뮤니티에 보낸 메시지에서 Wintermute는 취약점에 대한 전적인 책임을 졌습니다. 회사 측은 “가격 변동성 영향 완화에 최선을 다한다”는 의미로 해커가 매도한 금액만큼 영업이익 환매를 집행하겠다고 밝혔다.

Wintermute는 또한 해커가 일주일 이내에 1,900만 개의 토큰을 반환하는 데 동의하면 이 사건을 화이트 햇 공격으로 받아들이겠다고 제안했습니다. 이 제안은 해커가 또 다른 백만 개의 코인을 옮기기 전에 나왔습니다.

Wintermute의 메시지에 대한 응답은 대부분 회사가 문제를 투명하게 밝히고 발생한 일에 대해 책임을 지는 것에 대해 칭찬했습니다.

단기적으로 Optimism 팀은 Wintermute에 추가로 2,000만 개의 OP 보조금을 지급하여 상황이 발전함에 따라 작업을 계속할 수 있도록 했습니다.

"커뮤니티는 향후 유동성 공급 노력을 지원하기 위해 Optimism Foundation을 기대하거나 의존해서는 안 됩니다."

Decentralized Proof 팟캐스트 진행자 Chris Blec은 팀이 도난당한 자금을 다시 통제하기 위해 네트워크 업그레이드를 고려했지만 거절했다고 말했습니다. 이는 그가 보기에 낙관주의(관리자 키가 있는 대부분의 DeFi 프로젝트와 마찬가지로)가 "위험할 정도로 중앙 집중화"되어 있음을 의미합니다.

관련된 사람들이 직접 공격을 수행했을 수 있습니다. "현장의 모든 사람들이 항상 가장 명백한 가능성을 검열하는 것에 반대하는 이유는 무엇입니까?"라고 그는 묻습니다. 현 단계에서는 이 이론을 뒷받침할 증거가 없습니다. Wintermute는 또한 익스플로잇에 대한 가장 분명한 설명이 Blec과 가장 밀접하게 관련된 설명과 관련이 있다고 제안합니다.