Společnost stojící za Optimism, layer-2 řešením pro lepší škálování kryptoměny Ethereum (ETH), oznámila, že během příprav zpestření nativního tokenu OP určeného pro DAO Optimism Collective omylem poslala 20 milionů tokenů OP na špatnou blockhainovou adresu. Tato chyba měla za důsledek jejich krádež hackery.
DAO, neboli decentralizované autonomní organizace, jsou kolektivně založené na blockchainu s právem rozhodovat, jakým způsobem se má projekt s ním spojený ubírat. Optimism vytvořil OP tokeny pro DAO Optimim Collective s úmyslem, aby sloužily právě pro správu tohoto projektu a najal market makera (tvůrce trhu) firmu Wintermute, aby efektivně distribuovala 20 milionů OP tokenů mezi tyto zúčastněné strany.
Hey folks–in the interest of transparency, we'd like to share some details about an ongoing situation:https://t.co/915vIgRIJG
Summary below 🧵👇
— Optimism (@Optimism) June 8, 2022
Optimism nejprve odeslal do Wintermute dvě testovací transakce, které byly ze strany Wintermute potvrzeny jako úspěšné, ale následně když poslal 20 milionů tokenů OP zjistil, že nepřišly.
Jak se to ale vůbec mohlo stát?
,,Optimism je škálovací řešení na druhé vrstvě blockchainu Ethereum. Díky tomu umožňuje rychlejší transakce, protože obchází přetíženou hlavní síť Ethereum (první vrstvu). Tento komfort však s sebou přináší také větší riziko,“ začal vysvětlování problému portál DeCrypt, aby následně uvedl:
,,V případě transakce Optimism bylo 20 milionů tokenů OP posláno na adresu Wintermute na první vrstvě Ethereum, ale jelikož tato adresa ještě nebyla nasazena nebo synchronizována s adresou Optimism na druhé vrstvě Ethereum, prostředky zůstaly volně pohyblivé a nepřístupné na první vrstvě.“
Když se Wintermute o problému dozvěděl zahájil operaci obnovy s cílem nasadit L1 multig kontrakt na stejnou adresu na druhé vrstvě, jenže jak informoval Cointelegraph tento pokus o nápravu přišel příliš pozdě. ,,Útočník byl schopen nasadit multisig do L2 s různými inicializačními parametry před dokončením operace obnovy a převzal kontrolu nad 20 miliony OP tokenů.“
Firma Wintermute ještě před pokusem o obnovu převzala v době incidentu – 30. května – plnou zodpovědnost za chybu a Optimism Foundation oznámila, že tyto finanční prostředky je potenciálně možné získat skrze rizikovou jednorázovou operaci. Rovněž tvrdila, že tokeny jsou v bezpečí, protože k nim nemá přístup nikdo jiný. Jak se však ukázalo toto tvrzení nebylo pravdivé, protože chybu využil jak bylo již popsáno výše hackerem, který se tak dostal k tokenům v hodnotě přibližně 35 milionů dolarů (v dané době).
Hacker následně jeden milion tokenů OP prodal za ETH a zbývajících 19 milionů si (zatím) nechal. Následně se odmlčel a od té doby o něm není neslyšet.
Wintermute v rámci převzetí odpovědnosti slíbil, že všechny tokeny, které hacker prodá, odkoupí zpět, přičemž zmiňovaný milion těchto tokenů, které mezitím hacker prodal, měl už i získat zpět pod svoji kontrolu. Optimism mezitím uvedl, že ukradené tokeny OP zatím nebyly použity k ovlivnění správy jejich DAO, ale situaci pečlivě nadále monitorují.
Some $OP tokens got hijacked.
Optimism is grappling with the idea of whether it should use its multisig to take the tokens back from the thief.
In this tweet, they're saying "we coullllld do it.. but then you'd all hate us.. so we won't.. for now."
DANGEROUSLY CENTRALIZED. https://t.co/p7JiPY2TzU
— Chris Blec (@ChrisBlec) June 8, 2022
S hackerem se snaží spojit
Optimism Foundation i zástupci Wintermute se mezitím snaží s hackerem zkontaktovat, ale ten nereaguje. Obě společnosti se proto rozhodly zveřejnit podrobnosti o tomto útoku v naději, že tím upoutají jeho pozornost. Dokonce ocenili jeho sofistikovanost a naznačili mu potenciální spolupráci ve víře, že by mohli najít spolčené řešení tohoto problému.
,,Způsob, jakým byl útok realizován, byl poměrně působivý a v budoucnu můžeme dokonce zvážit konzultační příležitosti nebo jiné formy spolupráce,“ napsala společnost Wintermute.
Komunita na tyto informace reagovala rozpačitě – určitá část ocenila transparentnost zástupců Wintermute a Optimism Foundation a jejich snahu proaktivně řešit problém, zatímco jiní upozornili, že tento problém jen vykreslil silnou centralizaci celého řešení.
Zdroj:decrypt.co,cointelegraph.com