Yayasan Optimisme menghantar $20J ke dompet yang salah – OP turun 36%

Yayasan Optimisme telah mengeluarkan a kenyataan mengesahkan bahawa token OP 20M yang dimaksudkan untuk rakan kongsi peruntukan kecairan telah dihantar ke alamat yang salah. Harga token OP turun daripada $1.12 pada 8 Jun kepada hanya $0.70 selepas berita itu tersebar. Kenyataan itu berbunyi,

“Yayasan Optimisme menggunakan Wintermute untuk perkhidmatan penyediaan kecairan … geran sementara sebanyak 20 juta token OP telah diperuntukkan kepada Wintermute daripada Yayasan Dana Rakan Kongsi.

Wintermute memberikan alamat untuk menerima token yang dipinjam. Yayasan Optimisme menghantar dua transaksi ujian yang berasingan, dan selepas pengesahan Wintermute untuk setiap satu, menghantar yang lain. Malangnya, Wintermute kemudiannya mendapati mereka tidak dapat mengakses token ini kerana mereka telah memberikan alamat untuk multisig Ethereum (L1) yang belum mereka gunakan untuk Optimisme (L2).

Rakan kongsi yang diupah untuk membantu memudahkan perkhidmatan kecairan tidak menggunakan produk yang Optimisme telah mengupah mereka untuk menyokong. walaupun wintermute mendakwa sebagai "pembuat pasaran algoritma global terkemuka dalam aset digital", ia telah membuat apa yang boleh dianggap sebagai kesilapan asas dalam kripto, terutamanya untuk pembuat pasaran algoritma.

Sebagai balasan, Wintermute mempunyai:

"komited untuk membeli balik token yang hilang. Mereka akan memantau alamat yang menyimpan token yang hilang ini dan membeli apabila alamat tersebut dijual.”

Proses pemulihan

Optimisme menyatakan bahawa Wintermute telah cuba menyelesaikan situasi tanpa perlu membeli semula token kerana mereka "memulakan operasi pemulihan dengan matlamat untuk menggunakan kontrak multisig L1 ke alamat yang sama pada L2." Walau bagaimanapun, Optimisme mendakwa:

"penyerang dapat menggunakan multisig ke L2 dengan parameter permulaan yang berbeza sebelum usaha ini selesai, dengan menganggap pemilikan OP 20m."

Dengan kesilapan itu, Wintermute pada dasarnya meninggalkan 20 juta token OP di jalan untuk diambil oleh sesiapa sahaja dengan menggunakan kontrak Optimisme L2 ke alamat tersebut. Jadi, ia boleh dilihat sebagai langkah PR untuk merujuk kepada pemilik baharu sebagai "penyerang;" mempersoalkan kesahihan "eksploit" atau "godam". Optimisme sejak itu dilaporkan bahawa 1 juta OP telah dijual dari dompet.

Sesiapa yang memperoleh akses kepada dompet sudah pasti telah membuat langkah kelabu dari segi etika dengan mengeksploitasi ketidakcekapan pembuat pasaran automatik. Walau bagaimanapun, kenyataan Wintermute baru-baru ini mencadangkan terdapat lebih banyak situasi daripada penggunaan kontrak yang mudah dan pintar.

Tindak balas Wintermute

Wintermute menulis a sambutan kepada komuniti Optimisme melalui forum tadbir urusnya. Di dalamnya, pasukan menjelaskan:

“Ketika kami menyampaikan alamat dompet kepada pasukan Optimisme, kami membuat kesilapan yang serius. Kami mempunyai peti keselamatan Gnosis yang digunakan di mainnet untuk seketika dan disebabkan kesilapan dalaman, kami telah menyampaikan dompet yang sama seperti alamat penerima.”

Siaran itu mengesahkan bahawa ini "bukan perkara yang bijak untuk dilakukan." Walau bagaimanapun, nampaknya ini berlaku pada 30 Mei, sehari sebelum pelancaran mainnet untuk Optimisme.

Wintermute kemudian mengambil alih 20 juta OP lagi dengan "menyediakan $50 juta USDC sebagai cagaran." Walau bagaimanapun, pihak ketiga lebih pantas daripada Wintermute dalam mendapatkan semula dana, "penyerang",:

“Teruskan dengan melakukan serangan ulang tayang dengan memainkan semula penggunaan Gnosis Safe MasterCopy 1.1.1 daripada mainnet Eth. Mereka kemudian menggunakan kontrak 0xE714 yang digunakan sebelum ini… untuk menggunakan bilik kebal bagi setiap kelompok 162."

Wintermute kemudian menjelaskan kaedah rumit yang digunakan oleh pihak ketiga luar untuk mengakses dana adalah melalui deposit Tornado Cash. Gambaran itu sememangnya memberi gambaran bahawa serangan kompleks berlaku.

Malah, Wintermute memuji serangan itu dengan menyatakan, "serangan telah dilakukan agak mengagumkan" sebelum menawarkan mereka "peluang perundingan" jika mereka memulangkan dana.

Dalam menghadapi situasi yang sangat memalukan, komuniti crypto tidak semua membeli cerita; Bear Baron Hellspawn berkata:

“Sama ada jam amatur oleh apa yang dipanggil “pembekal kecairan”
Sama ada kerja dalaman. Kerana melainkan anda melakukan beberapa voodoo sh*t anda tidak boleh menganggap bahawa token $OP akan dipindahkan ke alamat yang sangat SPECIFIC.”

Wintermute mengakhiri kenyataannya dengan ancaman kepada "penyerang" yang menyatakan,

“Kami komited 100% untuk memulangkan semua dana, menjejaki orang yang bertanggungjawab atas eksploitasi itu, mendox sepenuhnya dan menyerahkannya kepada sistem perundangan yang sepadan. Ingat bahawa perompak perlu bertuah setiap kali. Polis hanya perlu bertuah sekali.”

Wintermute kini berada di Consensus 2022 di Texas, mulai 9 Jun. CryptoSlate menghubungi kedua-dua CEO dan COO, tetapi tiada maklum balas diterima pada masa penerbitan.