Изобретатель Ethereum Виталик Бутерин был непреднамеренным получателем 1 миллиона токенов OP от решения масштабируемости этой сети Optimism. Команда, стоящая за этим проектом, обратилась к опасениям по поводу потенциального эксплойта, связанного с запуском их токена управления.
Как пояснил Optimism, они заключили сделку с поставщиком ликвидности Wintermute, чтобы «облегчить работу пользователей», желающих купить OP и участвовать в модели управления проектом. В рамках соглашения Optimism отправил 20 миллионов токенов OP на адрес с мультиподписью.
Однако поставщик ликвидности не смог получить доступ к средствам, поскольку обнаружил, что адрес был разработан как мульти-подпись уровня 1 Ethereum без Optimism, который работает как решение второго уровня, развертывание смарт-контрактов. Об этом поставщик ликвидности заявил:
Сообщив адрес кошелька команде Optimism, мы допустили серьезную ошибку.
Партнер Optimism начал «операцию по восстановлению», чтобы получить доступ к средствам, поскольку они заключили с Wintermute, что средства «потенциально могут быть извлечены и что никто, кроме Wintermute, не может вернуть эти средства», — говорится в заявлении поставщика ликвидности.
Операция по восстановлению была запланирована, уточнил поставщик ликвидности, на 7 июня 2022 года, но хакер опередил их. Команда, стоящая за решением второго уровня Ethereum, объяснила:
К сожалению, злоумышленник смог развернуть мультиподпись на L2 с другими параметрами инициализации до того, как эти усилия были завершены, предполагая, что он владеет 20-метровой OP.
Кроме того, Optimism утверждает, что злоумышленник начал продавать украденные средства. С адреса хакера: 0x4f3a120E72C76c22ae802D129F599BFDbc31cb81 на рынок было «сброшено» 1 миллион токенов OP.
На момент написания на этом адресе по-прежнему хранится 18 миллионов токенов OP или 14 миллионов долларов США с дополнительными 3 долларами США в монетах USD (USDC). Однако новые события сделали весь инцидент еще более странным.
Почему отправили часть средств Виталику Бутерину?
Разработчик Йоав Вайс, сотрудник по безопасности в Ethereum Foundation, предоставил другие подробности о недавних событиях. Он считает, что злоумышленник мог быть хакером Whitehat.
Он основывал это предположение на том факте, что злоумышленник ждал четыре дня, прежде чем завладеть средствами OP. В течение этого времени существовал риск, что Wintermute могла развернуть решение для возврата средств.
Кроме того, злоумышленник не перевел средства, как полагал «Оптимизм». В результате изобретатель Ethereum Виталик Бутерин получил 1 миллион токенов, а сам Вайс получил еще 1 миллион OP.
И сюжет сгущается. Пока я писал это пояснение, злоумышленник делегировал право голоса 1M OP *me*: https://t.co/75VPmS91J5
Спасибо за делегирование 🙂
Подсказка: нет, я не злоумышленник, и я не знаю, кто. Но теперь угадал, что это белая шляпа.
— yoav.ETH (@yoavw) 9 июня 2022 г.
Проекты часто отправляют токены Виталика Бутерина, чтобы отпраздновать запуск своих платформ или «сжечь их», поскольку изобретатель Ethereum редко их использует. Тот факт, что Вайс работает сотрудником службы безопасности, похоже, является частью сообщения злоумышленника.
Команда Optimism утверждает, что хакер не использовал средства для какой-либо деятельности, связанной с его моделью управления. Если эта ситуация изменится, они утверждают, что вместе с сообществом OP будут приняты дополнительные меры.
Доступны и другие меры, но команда Optimism отказывается их применять, что ставит под угрозу представление проекта о сети без разрешений. Они пришли к выводу:
(…) Подобные инциденты являются болезнью роста развивающейся отрасли. Это напоминание всем, кто имеет дело с контрактами в разных цепочках, о том, что предположения о безопасности одной цепочки не обязательно переносятся на другую.
На момент написания статьи цена OP торгуется на уровне 0,8 доллара с потерей 16% за последние 24 часа.
