Wykorzystano portfel zawierający 20M OP, tokeny zarządzające rozwiązania skalującego Ethereum Layer 2 Optimism.
Exploit był ujawnione przez Fundację Optymizm na Twitterze.
Jak to się stało
Fundacja zatrudniła Wintermute’a, animatora rynku, aby zapewnić OP początkową płynność. Większa płynność oznacza mniejszą zmienność, dlatego firma Optimism pożyczyła Wintermute’owi 20-miesięczny OP w ramach umowy mającej na celu złagodzenie uruchomienie tokena OP.
Wintermute potwierdził, że otrzymał dwie wpłaty testowe do swojego portfela Optimism, po czym Fundacja Optimism wysłała pełne tokeny OP o wartości 20M. W tym momencie Wintermute odkrył, że tak naprawdę nie może odzyskać tokenów, ponieważ animator rynku nie wdrożył jeszcze tzw. Bezpieczna dla gnozy na ich adres w Optymizmie.
Gnosis Safe to inteligentny kontrakt, który działa jak portfel z wieloma podpisami, który wymaga zgody wielu stron w celu dokonywania transakcji. Są rutynowo wykorzystywane jako środek bezpieczeństwa przez VC i protokoły DeFi w celu decentralizacji kontroli nad dużymi pulami aktywów.
To niekoniecznie działa w przypadku łańcuchów. „Posiadanie kontroli nad Mainnet Safe nie gwarantuje kontroli nad innymi łańcuchami kompatybilnymi z EVM (w przeciwieństwie do zwykłych portfeli)” – wyjaśnił Wintermute w wiadomość do społeczności Optymizmu na stronie Warstwa 2 forum.
Zasadniczo Wintermute nie miał łatwego dostępu do OP 20M. Firma planowała przeprowadzić wysoce techniczną operację, aby odzyskać tokeny, ale została pokonana przez nieznanego jeszcze napastnika.
W następstwie błędu, Kain Warwick, założyciel Synthetix, protokołu aktywów syntetycznych, podkreślił, co jego zdaniem powinni zrobić ludzie, aby naprawdę testować transakcje.
Warwick w dodatku że właściwym sposobem przetestowania transakcji jest upewnienie się, że możesz przenieść tokeny, a nie tylko je otrzymać.
Wintermute bierze na siebie odpowiedzialność
Wintermute jednoznacznie bierze na siebie winę za exploit. „Chcemy wyjaśnić jedną rzecz – początkowy błąd jest w 100% winą Wintermute” – napisał animator rynku w swoim poście na forum.
Aby zadośćuczynić, Wintermute zobowiązał się również do zakupu równoważnej liczby tokenów OP za każdym razem, gdy atakujący je sprzeda, i zrobił to już w przypadku pierwszego miliona tokenów.
Hakera adres nadal posiada 19-miesięczny OP od 8 czerwca sprzedam 1 milion tokenów za 720.7 ETH. Przy cenie 8 dolara z 0.84 czerwca haker ma zarobić netto 16.8 mln dolarów, choć okaże się, czy atakujący sprzeda wszystkie tokeny.
Haker może nie sprzedawać OP ze względu na dramatyczny poślizg podczas odciążania 19 mln tokenów — prawie cała wartość zostałaby utracona, gdyby atakujący próbował sprzedać całe OP na raz, ponieważ całkowita płynność w portfelu Uniswap Basen OP-WETH wynosi zaledwie 4.1 mln dolarów.
Tokeny OP, o których mowa, pochodziły z Funduszu Partnerskiego, któremu przeznaczono 5.4% całkowitej podaży tokenów w ramach mandatu rozwoju ekosystemu Optimism.
Przeczytaj oryginalny post na Wyzywający
- "
- 7
- 84
- dostęp
- w poprzek
- adres
- Wszystkie kategorie
- już
- ilość
- kapitał
- Aktywa
- bo
- kupować
- zobowiązany
- społeczność
- sukcesy firma
- zgodny
- umowa
- kontrola
- sprawa
- głębiej
- DeFi
- wdrażane
- odkryty
- Nie
- dramatycznie
- z łatwością
- Ekosystem
- podkreślił
- ETH.
- ethereum
- Wykorzystać
- i terminów, a
- Fundacja
- założyciel
- pełny
- fundusz
- zarządzanie
- Rozwój
- gwarancja
- haker
- wysoko
- posiada
- HTTPS
- IT
- duży
- warstwa
- Wyprowadzenia
- Płynność
- producent
- rynek
- znaczy
- zmierzyć
- milion
- ruch
- wielokrotność
- koniecznie
- netto
- działanie
- zamówienie
- Inne
- część
- partnerem
- Ludzie
- planowanie
- punkt
- Baseny
- Cena
- protokół
- protokoły
- zapewniać
- pytanie
- otrzymać
- Odebrane
- szczątki
- Wymaga
- "bezpiecznym"
- skalowaniem
- bezpieczeństwo
- sprzedać
- ponieważ
- poślizg
- mądry
- inteligentna umowa
- So
- rozwiązanie
- stojaki
- Dostawa
- biorąc
- Techniczny
- test
- Połączenia
- żeton
- Żetony
- transakcja
- transakcje
- i twitterze
- Uniswap
- wartość
- VC
- Zmienność
- Portfel
- Portfele
- Co
- czy
- Praca
- by
