Periode bulan madu untuk solusi penskalaan lapisan-2 Optimisme telah dipersingkat setelah bug dalam kontrak pintar pembuat pasarnya mengakibatkan hilangnya 20 juta token OP.
Bug tersebut terjadi pada 26 Mei lalu, namun baru dilaporkan ke komunitas. Satu juta token senilai sekitar $1,3 juta terjual pada 5 Juni. 1 juta token lainnya senilai sekitar $730.000 ditransfer ke alamat Ethereum Vitalik Buterin pada pukul 12:26 UTC hari ini. Token yang tersisa saat ini tidak aktif tetapi dapat dijual kapan saja, atau digunakan untuk memengaruhi keputusan tata kelola.
Halo semuanya, Demi transparansi, kami ingin membagikan beberapa detail tentang apa yang sedang terjadi
Berikut ringkasannya
— Optimisme (✨_✨) (@optimismePBC) 8 Juni 2022
Token OP adalah token asli dari Optimism Layer-2 (L2), dan sebagian dari pasokan dikirimkan ke pengguna jaringan pada tanggal 1 Juni. Solusi L2 membantu mengurangi kemacetan pada blockchain layer 1 seperti Ethereum.
Ringkasan peristiwa dari tim Optimism pada hari Kamis merinci bagaimana perusahaan pembuat pasar cryptocurrency Wintermute berniat menghabiskan 20 juta token OP. Setelah mengirimkan dua transaksi percobaan, tim Optimism mengirimkan semua token.
Namun Wintermute menemukan bahwa ia tidak dapat mengakses token karena smart contract yang digunakannya untuk menerima token masih di L1 dan belum diperbarui untuk digunakan di Optimism. Pengawasan teknis ini memungkinkan kontrak dikompromikan, di mana aktor jahat mengambil kendali kontrak di L2 sendiri.
Ketika Wintermute menyadari masalah ini, "memulai operasi pemulihan dengan tujuan menerapkan kontrak multisig L1 ke alamat yang sama di L2", tetapi sudah terlambat untuk mencoba memperbaiki situasi.
"Seorang penyerang dapat menyebarkan multisig ke L2 dengan parameter inisialisasi berbeda dan mengontrol 20 juta token OP sebelum operasi pemulihan selesai."
Kontrak multi-tanda tangan memerlukan persetujuan dari beberapa pemegang kunci untuk melakukan transaksi.
Dalam sebuah pesan kepada komunitas Optimisme pada 9 Juni, Wintermute bertanggung jawab penuh atas kerentanan tersebut. Perusahaan mengatakan akan melakukan pembelian kembali OP sama dengan jumlah yang dijual oleh peretas sebagai cara untuk "melakukan yang terbaik untuk memuluskan efek volatilitas harga."
Wintermute juga menawarkan untuk menerima insiden tersebut sebagai serangan topi putih jika peretas setuju untuk mengembalikan 19 juta token dalam waktu seminggu. Proposal ini datang sebelum peretas memindahkan satu juta koin lagi.
Tanggapan terhadap pesan Wintermute sebagian besar memuji perusahaan atas transparansi dalam mengungkap masalah dan bertanggung jawab atas apa yang terjadi.
Dalam jangka pendek, tim Optimism telah memberi Wintermute tambahan 20 juta hibah OP "sehingga mereka dapat melanjutkan pekerjaan mereka seiring perkembangan." Tetapi tim juga mencatat bahwa upaya pembuatan pasar ini bersifat sementara.
"Masyarakat tidak boleh mengharapkan atau mengandalkan Yayasan Optimisme untuk mendukung upaya penyediaan likuiditas di masa depan."
Pembawa acara podcast Bukti Terdesentralisasi, Chris Blec, mengatakan bahwa tim mempertimbangkan (tetapi menolak) melakukan peningkatan jaringan untuk mendapatkan kembali kendali atas dana yang dicuri. Artinya, dalam pandangannya, Optimisme (seperti kebanyakan proyek DeFi dengan kunci admin) "sangat terpusat".
Mereka yang terlibat mungkin telah melakukan serangan itu sendiri. "Mengapa semua orang di lapangan selalu menentang penyensoran kemungkinan yang paling jelas?" dia bertanya. Pada tahap ini tidak ada bukti yang mendukung teori ini. Wintermute juga menunjukkan bahwa penjelasan yang paling jelas untuk mengeksploitasi melibatkan yang paling dekat hubungannya, yang berarti dengan Blec
YouQuan
Brian
Davin
TheBlock
Cointelegraph
Bitcoinist