Optimism Foundation sendet 20 Millionen Token an die falsche Brieftasche
Die Optimism Foundation bestätigte, dass sie selbst nach Abschluss von zwei Testtransaktionen 20 Millionen OP-Token an die falsche Multi-Sig-Wallet gesendet haben.
Die Optimism Foundation hat eine Erklärung herausgegeben, in der bestätigt wird, dass 20 Millionen OP-Token, die für einen Liquiditätsbereitstellungspartner Wintermute bestimmt sind, an die falsche Adresse gesendet wurden.
Der Exploit fand am 26. Mai statt. Die Community wurde jedoch erst kürzlich informiert. Der Preis von OP-Token wurde durch den Vorfall stark beeinflusst. Laut CoinGecko ging es um 31,2 % zurück und wurde in den letzten 24 Stunden bei 0,76 $ gehandelt.
Das Ereignis
In einer offiziellen Erklärung erklärt das Team der Optimism Foundation, dass es Wintermute mit Liquiditätsbereitstellungsdiensten in Vorbereitung auf die Einführung des OP-Tokens beauftragt hat. Ein temporärer Zuschuss von 20 Millionen OP-Token wurde Wintermute aus dem Partnerfonds der Stiftung zur Durchführung dieses Engagements zugeteilt. Nach dem Senden von zwei Testtransaktionen, die Wintermute bestätigte, schickte das Optimism-Team die Gesamtmenge an Token.
Leider stellte Wintermute später fest, dass sie nicht auf diese Token zugreifen konnten, weil sie eine Adresse für eine (L1) Multi-Sig angegeben hatten, die sie noch nicht für Optimism (L2) bereitgestellt hatten. Dieses technische Versehen öffnete den Vertrag für einen Angriff, bei dem ein schlechter Akteur die Kontrolle über den Vertrag auf L2 selbst übernahm.
Als das Problem offensichtlich wurde, begann das Wintermute-Team „eine Wiederherstellungsoperation mit der Absicht, den L1-Multi-Sig-Vertrag an derselben Adresse auf L2 bereitzustellen“. Dennoch kamen die Versuche, die Situation zu beheben, zu spät.
„Ein Angreifer konnte die Multi-Sig mit unterschiedlichen Initialisierungsparametern auf L2 bereitstellen, bevor der Wiederherstellungsvorgang abgeschlossen war, und die Kontrolle über die 20 Millionen OP-Token übernehmen. Diese Adresse hat seitdem 1 Million Token verkauft und kann den Rest problemlos verkaufen.“
Leider war ein Angreifer in der Lage, das Multisig mit anderen Initialisierungsparametern auf L2 bereitzustellen, bevor diese Bemühungen abgeschlossen waren, und übernahm den Besitz des 20m OP.
Diese Adresse hat seitdem 1 Mio. OP verkauft: https://t.co/W8uiYPB9Of
– Optimismus (_) (@optimismPBC) 8. Juni 2022
Optimism ist als Layer-2-Skalierungslösung für Ethereum bekannt, die alle Dapps von Ethereum unterstützen kann. Anstatt alle Berechnungen und Daten im Ethereum-Netzwerk auszuführen, legt Optimism alle Transaktionsdaten in der Kette ab. Es führt Berechnungen außerhalb der Kette aus, erhöht die Transaktionen von Ethereum pro Sekunde und senkt die Transaktionsgebühren. OP-Token sind die nativen Token für die Optimism-Blockchain.
Nachwirkungen
Als Reaktion auf die Optimism-Community gab Wintermute zu, „einen schwerwiegenden Fehler“ gemacht zu haben, und übernahm die volle Verantwortung für den Exploit. Das Unternehmen erklärte, dass es OP-Rückkäufe in Höhe des Betrags durchführen würde, den der Exploiter verkauft, um „stärkste Anstrengungen zu unternehmen, um die Auswirkungen“ der Preisvolatilität zu glätten.
In der Erklärung wandte sich Wintermute an den Hacker und bot an, einen Vorfall als White-Hat-Exploit zu behandeln, wenn der Hacker sich bereit erklärte, 19 Millionen Token innerhalb einer Woche zurückzugeben.
„Wir verpflichten uns zu 100 %, alle Gelder zurückzugeben, die für den Exploit verantwortlichen Personen zu verfolgen, sie vollständig zu doxxen und sie an das entsprechende Rechtssystem zu liefern. Denken Sie daran, dass Räuber jedes Mal Glück haben müssen. Polizisten müssen nur einmal Glück haben“, schrieb Wintermute.
Die Antworten auf die Nachricht von Wintermute applaudierten der Firma meist für ihre Transparenz bei der Offenlegung des Problems und der Übernahme der Schuld für das, was passiert ist. Allerdings ist nicht die gesamte Krypto-Community so unterstützend. Bear Baron Hellspawn twitterte entweder über den dilettantischen Ansatz oder den Insider-Job:
Es sieht für mich bestenfalls nach Amateurstunde von @wintermute_t aus.
Entweder Amateurstunde durch sogenannte „Liquiditätsanbieter“
Entweder Insider-Job. Denn wenn Sie keinen Voodoo-Scheiß machen, können Sie nicht davon ausgehen, dass $OP-Token an eine ganz bestimmte Adresse übertragen werden.
– Bärenbaron Hellspawn (@hellspawncrypto) 8. Juni 2022
In seinem Tweet fragte sich Chris Blec, der Moderator des Podcasts Proof of Decentralization, dass die naheliegendste Erklärung sein könnte, dass jemand, der mit Wintermute zu tun hat, den Angriff möglicherweise selbst durchgeführt hat.
Reichen 20 Millionen Dollar als Anreiz für jemanden bei Wintermute aus, diesen „Angriff“ auf sich selbst durchzuführen?
Warum ist jeder in diesem Raum immer so dagegen, die offensichtlichsten Möglichkeiten zu prüfen?
Hast du Angst, die Gefühle von jemandem zu verletzen?
Logik zuerst. Gefühle später. https://t.co/EQnrfGJWiF
– Chris Blec (@ChrisBlec) 8. Juni 2022