包含 20M OP(以太坊第 2 层扩展解决方案 Optimism 的治理代币)的钱包已被利用。
该漏洞是 披露 由乐观基金会在 Twitter 上发布。
它是如何发生
基金会聘请做市商 Wintermute 为 OP 提供初始流动性。更深的流动性意味着更少的波动性,因此 Optimism 向 Wintermute 借出了 20M OP,作为平滑市场的交易的一部分 推出 OP 代币.
Wintermute 确认其 Optimism 钱包已收到两笔测试存款,之后 Optimism 基金会发送了全部 20 万个 OP 代币。此时,Wintermute 发现他们实际上无法取回代币,因为做市商尚未部署所谓的 安全地牢 他们关于乐观的演讲。
Gnosis Safe 是一种智能合约,充当多重签名钱包,需要多方批准才能进行交易。它们通常被 VC 和 DeFi 协议用作安全措施,以分散对大量资产的控制。
它不一定能跨链工作。 Wintermute 在一份报告中解释道:“控制主网 Safe 并不能保证控制其他 EVM 兼容链(与普通钱包不同)。” 的话 致乐观社区 第 2 层 论坛。
本质上,Wintermute 无法轻松访问 20M OP。该公司原本计划执行一项技术性很强的操作来取回代币,但遭到了未知攻击者的先发制人。
错误发生后, 凯恩沃里克合成资产协议 Synthetix 的创始人强调了他认为人们需要做什么才能真正测试交易。
华威 添加 测试交易的正确方法是确保您可以移动代币,而不仅仅是接收它们。
Wintermute 承担责任
Wintermute 明确承担了此次漏洞的责任。 “我们想澄清一件事——最初的错误 100% 是 Wintermute 的错,”做市商后来在其论坛帖子中写道。
为了弥补这一点,Wintermute 还承诺,每当攻击者出售 OP 代币时,都会购买等量的 OP 代币,并且已经为前 XNUMX 万代币做到了这一点。
黑客的 地址 截至 19 月 8 日仍持有 XNUMXM OP 出售 1 万代币 720.7 ETH。以 8 月 0.84 日 16.8 美元的价格计算,黑客将净赚 XNUMX 万美元,但攻击者是否会出售所有代币仍有待观察。
黑客可能不会出售 OP,因为卸载 19 万代币会产生巨大的滑点——如果攻击者试图立即出售所有 OP,那么几乎所有价值都会丢失,因为 Uniswap 的总流动性已经耗尽。 OP-WETH池 仅 4.1 万美元。
相关 OP 代币来自合作伙伴基金,该基金分配了代币供应总量的 5.4%,其任务是发展 Optimism 生态系统。
阅读原文 反抗
