Stichting Optimisme heeft een verklaring bevestigen dat 20M OP-tokens bedoeld voor een liquiditeitsvoorzieningspartner naar het verkeerde adres zijn verzonden. De prijs van het OP-token daalde van $ 1.12 op 8 juni tot slechts $ 0.70 nadat het nieuws bekend werd. De verklaring luidde,
“De Optimism Foundation schakelde Wintermute in voor liquiditeitsvoorzieningsdiensten … een tijdelijke subsidie van 20 miljoen OP-tokens werd toegewezen aan Wintermute van de Foundation's Partner Fonds.
Wintermute heeft een adres opgegeven om de geleende tokens in ontvangst te nemen. De Optimism Foundation heeft twee afzonderlijke testtransacties verzonden en na bevestiging door Wintermute voor elk de rest. Helaas ontdekte Wintermute later dat ze geen toegang hadden tot deze tokens omdat ze een adres hadden opgegeven voor een Ethereum (L1) multisig die ze nog niet hadden ingezet voor Optimism (L2).
De partner die was ingehuurd om liquiditeitsdiensten te helpen faciliteren, gebruikte niet het product waarvoor Optimism hen had ingehuurd. Hoewel wintermute beweert een "leidende wereldwijde algoritmische marktmaker in digitale activa" te zijn, heeft het een fundamentele fout in crypto gemaakt, vooral voor een algoritmische marktmaker.
Als beloning heeft Wintermute:
"zich ertoe verbonden de verloren tokens terug te kopen. Ze zullen het adres volgen dat deze verloren tokens bevat en kopen als het adres verkoopt.
Herstelproces
Optimisme verklaarde dat Wintermute had geprobeerd de situatie op te lossen zonder de tokens opnieuw te hoeven kopen, aangezien ze "een hersteloperatie begonnen met als doel het L1 multisig-contract op hetzelfde adres op L2 in te zetten." Optimisme beweert echter:
"Een aanvaller was in staat om de multisig naar L2 te implementeren met verschillende initialisatieparameters voordat deze inspanningen waren voltooid, waarbij hij eigenaar werd van de 20m OP."
Met die fout liet Wintermute in wezen 20 miljoen OP-tokens op straat liggen die iedereen kon ophalen door een Optimism L2-contract op het adres in te zetten. Het zou dus kunnen worden gezien als een PR-actie om naar de nieuwe eigenaar te verwijzen als een "aanvaller"; de geldigheid van de "exploit" of "hack" in twijfel trekken. Optimisme is sindsdien gerapporteerd dat er 1 miljoen OP uit de portemonnee is verkocht.
Wie toegang tot de portemonnee heeft verkregen, heeft ongetwijfeld een ethisch grijze zet gedaan door de onbekwaamheid van een geautomatiseerde marktmaker uit te buiten. De recente verklaring van Wintermute suggereert echter dat er meer aan de hand was dan een eenvoudige, slimme contractimplementatie.
Wintermute reactie
Wintermute schreef een antwoord aan de Optimism-gemeenschap via haar bestuursforum. Daarin legde het team uit:
“Toen we het adres van de portemonnee aan het Optimism-team doorgaven, maakten we een ernstige fout. We hadden een tijdje een Gnosis-kluis op het mainnet staan en door een interne fout hebben we dezelfde portemonnee gecommuniceerd als het ontvangende adres.”
De post bevestigde dat dit "niet slim was om te doen". Het lijkt er echter op dat dit gebeurde op 30 mei, de dag voor de lancering van het mainnet voor Optimism.
Wintermute nam vervolgens bezit van nog eens 20 miljoen OP door "$ 50 miljoen USDC als onderpand te verstrekken". Een derde partij was echter sneller dan Wintermute bij het ophalen van het geld, de "aanvaller",:
“ging door met het uitvoeren van een replay-aanval door de Gnosis Safe MasterCopy 1.1.1-implementatie opnieuw af te spelen vanaf het Eth-mainnet. Vervolgens gebruikten ze het eerder geïmplementeerde contract 0xE714... om kluizen te implementeren per batches van 162.”
Wintermute legde vervolgens uit dat een gecompliceerde methode die door de externe derde partij werd gebruikt om toegang te krijgen tot het geld, via een Tornado Cash-storting was. De afbeelding wekt inderdaad de indruk dat er een complexe aanslag heeft plaatsgevonden.
Inderdaad, Wintermute prees de aanval en zei: "De aanval is uitgevoerd en was behoorlijk indrukwekkend", voordat hij hen zelfs "adviesmogelijkheden" aanbood als ze het geld teruggaven.
In het licht van een zeer gênante situatie, koopt de cryptogemeenschap niet allemaal de verhaal; Beer Baron Hellspawn zei:
“Ofwel amateuruurtje door zogenaamde “liquidity provider”
Ofwel een interne baan. Want tenzij je wat voodoo sh*t doet, kun je er niet van uitgaan dat $OP-tokens op een heel SPECIFIEK adres worden overgedragen.
Wintermute beëindigde zijn verklaring met een bedreiging voor de "aanvaller" waarin stond:
“We zijn 100% toegewijd aan het teruggeven van al het geld, het opsporen van de persoon (personen) die verantwoordelijk zijn voor de exploit, het volledig doxxen en afleveren aan het overeenkomstige juridische systeem. Onthoud dat overvallers elke keer geluk moeten hebben. Politieagenten hoeven maar één keer geluk te hebben.”
Wintermute bevindt zich momenteel op Consensus 2022 in Texas, vanaf 9 juni. CryptoSlate nam contact op met zowel de CEO als de COO, maar op het moment van publicatie kwam er geen reactie.
Bron: https://cryptoslate.com/optimism-foundation-sends-20m-to-the-wrong-wallet-op-drops-36/