Giai đoạn trăng mật cho giải pháp mở rộng quy mô lớp 2 của Optimism đã bị cắt ngắn sau khi một lỗi trong hợp đồng thông minh của nhà sản xuất thị trường dẫn đến việc mất 20 triệu mã thông báo OP.
Lỗi xảy ra vào ngày 26 tháng 5 nhưng mới được báo cáo cho cộng đồng. Một triệu mã thông báo trị giá khoảng 1,3 triệu đô la đã được bán vào ngày 5 tháng 6. 1 triệu mã thông báo khác trị giá khoảng 730.000 đô la đã được chuyển đến địa chỉ Ethereum của Vitalik Buterin lúc 12:26 sáng UTC hôm nay. Các mã thông báo còn lại hiện không hoạt động nhưng có thể được bán bất cứ lúc nào hoặc được sử dụng để tác động đến các quyết định quản trị.
Xin chào mọi người, Vì lợi ích của sự minh bạch, chúng tôi muốn chia sẻ một số chi tiết về những gì đang diễn ra
Đây là tóm tắt
— Lạc quan (✨_✨) (@optimismPBC) ngày 8 tháng 6 năm 2022
Mã thông báo OP là mã thông báo gốc của Lớp lạc quan-2 (L2) và một phần nguồn cung cấp đã được phân phối trực tuyến cho người dùng mạng vào ngày 1 tháng 6. Các giải pháp L2 giúp giảm bớt tắc nghẽn trên các chuỗi khối lớp 1 như Ethereum.
Một bản tóm tắt các sự kiện từ nhóm Optimism vào thứ Năm đã nêu chi tiết cách công ty tạo thị trường tiền điện tử Wintermute dự định chi tiêu 20 triệu mã thông báo OP. Sau khi gửi hai giao dịch thử nghiệm, nhóm Lạc quan đã gửi tất cả các mã thông báo.
Tuy nhiên, Wintermute nhận thấy rằng nó không thể truy cập các mã thông báo vì hợp đồng thông minh mà nó sử dụng để chấp nhận các mã thông báo vẫn còn trên L1 và chưa được cập nhật để triển khai trên Optimism. Sự giám sát kỹ thuật này đã khiến hợp đồng bị xâm phạm, trong đó một kẻ xấu đã tự mình kiểm soát hợp đồng đối với L2.
Khi Wintermute nhận thức được vấn đề, nó đã "bắt đầu hoạt động khôi phục với mục tiêu triển khai hợp đồng đa chữ ký L1 đến cùng một địa chỉ trên L2", nhưng đã quá muộn để cố gắng khắc phục tình trạng này.
"Kẻ tấn công đã có thể triển khai multisig lên L2 với các tham số khởi tạo khác nhau và kiểm soát 20 triệu mã thông báo OP trước khi hoạt động khôi phục hoàn tất."
Hợp đồng nhiều chữ ký yêu cầu sự chấp thuận của nhiều chủ sở hữu khóa để thực hiện giao dịch.
Trong một thông báo gửi tới cộng đồng Optimism vào ngày 9 tháng 6, Wintermute đã nhận toàn bộ trách nhiệm về lỗ hổng bảo mật. Công ty cho biết họ sẽ thực hiện các giao dịch mua lại OP bằng với số lượng mà tin tặc đã bán như một biện pháp “cố gắng hết sức để giải quyết các tác động của biến động giá”.
Wintermute cũng đề nghị chấp nhận vụ việc là một cuộc tấn công mũ trắng nếu tin tặc đồng ý trả lại 19 triệu mã thông báo trong vòng một tuần. Đề xuất này được đưa ra trước khi tin tặc chuyển một triệu xu khác.
Các phản hồi đối với thông điệp của Wintermute chủ yếu ca ngợi công ty về sự minh bạch trong việc phát hiện ra các vấn đề và chịu trách nhiệm về những gì đã xảy ra.
Trước mắt, nhóm Lạc quan đã trao cho Wintermute thêm 20 triệu OP tài trợ “để họ có thể tiếp tục công việc của mình khi mọi thứ phát triển.” Nhưng nhóm cũng lưu ý rằng nỗ lực tạo thị trường này chỉ là tạm thời.
"Cộng đồng không nên mong đợi hoặc dựa vào Quỹ lạc quan để hỗ trợ các nỗ lực cung cấp thanh khoản trong tương lai."
Người dẫn chương trình podcast Bằng chứng phi tập trung Chris Blec cho biết nhóm đã cân nhắc (nhưng đã từ chối) thực hiện nâng cấp mạng để lấy lại quyền kiểm soát số tiền bị đánh cắp. Điều này có nghĩa là, theo quan điểm của anh ấy, Chủ nghĩa lạc quan (giống như hầu hết các dự án DeFi có khóa quản trị viên) là “tập trung một cách nguy hiểm”.
Những người liên quan có thể đã tự mình thực hiện vụ tấn công. "Tại sao mọi người trong lĩnh vực này luôn phản đối việc kiểm duyệt những khả năng rõ ràng nhất?", ông hỏi. Ở giai đoạn này, không có bằng chứng nào hỗ trợ cho lý thuyết này. Wintermute cũng gợi ý rằng những lời giải thích rõ ràng nhất cho việc khai thác liên quan đến những thứ có liên quan chặt chẽ nhất, có nghĩa là với Blec
YouQuan
Brian
Davin
TheBlock
Cointelegraph
Bitcoinist