Оптимистичный настрой для L2-решения масштабирования Optimism был прерван, так как эксплойт в смарт-контракте его маркет-мейкера привел к потере 20 миллионов токенов OP.
Эксплойт произошел 26 мая, но только сейчас стало известно сообществу. В воскресенье был продан миллион токенов на сумму около 1,3 миллиона долларов. Дополнительный 1 миллион токенов на сумму около 730 000 долларов США был переведен на адрес Ethereum Виталика Бутерина в Optimism сегодня утром в 00:26 UTC. Остальные токены пока бездействуют, но могут быть проданы в любое время или использованы для изменения решений управления.
Токены OP являются нативным токенами для блокчейна Optimism, и 1 июня часть токенов была разослана пользователям сети в виде ретроактивного аирдропа. Решения Layer-2 помогают уменьшить нагрузку на блокчейн уровня 1 (L1), таком как Ethereum.
В кратком обзоре событий , подготовленном командой Optimism в четверг, подробно описано, как 20 миллионов токенов OP предназначались для использования фирмой по созданию рынка криптовалют Wintermute. После отправки двух тестовых транзакций команда Optimism отправила полную сумму токенов.
Однако Wintermute обнаружил, что не может получить доступ к токенам, потому что смарт-контракт, который он использовал для приема токенов, все еще находился на L1 и не был обновлен для развертывания в Optimism. Эта техническая оплошность открыла контракт для атаки, в которой злоумышленник забрал контракт на себя на L2.
Как только Wintermute узнала о проблеме, она «начала операцию по восстановлению с целью развернуть мультиподписной контракт L1 по тому же адресу на L2», но его попытка исправить ситуацию была слишком запоздалой.
«Злоумышленник смог развернуть мультиподпись на L2 с другими параметрами инициализации до того, как операция восстановления была завершена, и получил контроль над 20 миллионами токенов OP».
Контракт с мультиподписью требует одобрения нескольких держателей ключей для выполнения транзакции.
В сообщении в четверг сообществу Optimism, компания Wintermute взяла на себя полную ответственность за эксплойт. Фирма заявила, что будет осуществлять выкупы токенов OP, равные сумме, которую продает эксплуататор, в качестве средства «сделать все возможное, чтобы сгладить последствия» волатильности цен.
Wintermute также предложил выкупить токены, если хакер согласится вернуть 19 миллионов токенов в течение одной недели. Это предложение было сделано до того, как хакер перевел еще 1 миллион токенов.
В краткосрочной перспективе команда Optimism предоставила Wintermute дополнительный грант в размере 20 миллионов OP, «чтобы они могли продолжать свою работу по мере развития событий». Но команда также указала, что такие усилия по созданию рынка носят временный характер.
«Сообщество не должно ожидать или полагаться на Optimism Foundation для поддержки усилий по предоставлению ликвидности в будущем».
Крис Блек, ведущий подкаста Proof of Decentralization , сказал, что команда рассматривала (но отказалась) восстановить контроль над украденными средствами, выполнив обновление сети. Это означало, что, по его мнению, Optimism «опасно централизован».
Блек также предположил, что наиболее очевидное объяснение эксплойтов связано с теми, кто был наиболее тесно связан, а это означает, что кто-то, связанный с Wintermute, мог сам совершить атаку. Он спросил: «Почему все в этом пространстве всегда так против проверки самых очевидных возможностей?», но на данном этапе нет никаких доказательств, подтверждающих эту теорию.