La Fondation Optimisme a publié un déclaration confirmant que 20 millions de jetons OP destinés à un partenaire d'approvisionnement en liquidités ont été envoyés à la mauvaise adresse. Le prix du jeton OP est passé de 1.12 $ le 8 juin à seulement 0.70 $ après l'annonce de la nouvelle. La déclaration disait,
«La Fondation Optimisme a engagé Wintermute pour des services d'approvisionnement en liquidités… une subvention temporaire de 20 millions de jetons OP a été allouée à Wintermute par la Fondation Fonds partenaire.
Wintermute a fourni une adresse pour recevoir les jetons empruntés. La Fondation Optimisme a envoyé deux transactions de test distinctes et, après confirmation de Wintermute pour chacune, a envoyé le reste. Malheureusement, Wintermute a découvert plus tard qu'ils ne pouvaient pas accéder à ces jetons car ils avaient fourni une adresse pour un multisig Ethereum (L1) qu'ils n'avaient pas encore déployé sur Optimism (L2).
Le partenaire même embauché pour aider à faciliter les services de liquidité n'utilisait pas le produit qu'Optimism les avait embauchés pour soutenir. Bien que Mute d'Hiver prétend être un «leader mondial du market maker algorithmique dans les actifs numériques», il a commis ce qui peut être considéré comme une erreur fondamentale dans le domaine de la cryptographie, en particulier pour un market maker algorithmique.
En récompense, Wintermute a :
"engagé à racheter les jetons perdus. Ils surveilleront l'adresse qui contient ces jetons perdus et achèteront au fur et à mesure que l'adresse se vendra.
Processus de récupération
Optimism a déclaré que Wintermute avait tenté de résoudre la situation sans avoir besoin de racheter les jetons alors qu'ils "ont commencé une opération de récupération dans le but de déployer le contrat multisig L1 à la même adresse sur L2". Cependant, l'Optimisme prétend :
"Un attaquant a pu déployer le multisig sur L2 avec différents paramètres d'initialisation avant la fin de ces efforts, en assumant la propriété du 20m OP."
Avec cette erreur, Wintermute a essentiellement laissé 20 millions de jetons OP dans la rue pour que quiconque puisse les récupérer en déployant un contrat Optimism L2 à l'adresse. Ainsi, cela pourrait être considéré comme un geste de relations publiques pour désigner le nouveau propriétaire comme un "attaquant" ; mettant en cause la validité de l'"exploit" ou du "hack". L'optimisme a depuis rapporté que 1 million d'OP a été vendu depuis le portefeuille.
Celui qui a obtenu l'accès au portefeuille a sans aucun doute fait un geste éthiquement gris en exploitant l'ineptie d'un teneur de marché automatisé. Cependant, la récente déclaration de Wintermute suggère qu'il y avait plus dans la situation qu'un simple déploiement de contrat intelligent.
Réponse Wintermute
Wintermute a écrit un réponse à la communauté Optimisme via son forum sur la gouvernance. Dans ce document, l'équipe a expliqué:
« Lorsque nous avons communiqué l'adresse du portefeuille à l'équipe Optimisme, nous avons fait une grave erreur. Nous avons déployé un coffre-fort Gnosis sur le réseau principal pendant un certain temps et en raison d'une erreur interne, nous avons communiqué le même portefeuille que l'adresse de réception.
Le message a confirmé que ce n'était "pas une chose intelligente à faire". Cependant, il semble que cela se soit produit le 30 mai, la veille du lancement du réseau principal pour Optimism.
Wintermute a ensuite pris possession de 20 millions d'OP supplémentaires en "fournissant 50 millions de dollars USDC en garantie". Cependant, un tiers a été plus rapide que Wintermute pour récupérer les fonds, "l'attaquant" :
« a procédé à une attaque par relecture en rejouant le déploiement de Gnosis Safe MasterCopy 1.1.1 à partir du réseau principal Eth. Ils ont ensuite utilisé le contrat précédemment déployé 0xE714… pour déployer des coffres-forts par lots de 162. »
Wintermute a ensuite expliqué qu'une méthode compliquée utilisée par le tiers externe pour accéder aux fonds était via un dépôt Tornado Cash. La représentation donne en effet l'impression qu'une attaque complexe a eu lieu.
En effet, Wintermute a fait l'éloge de l'attaque en déclarant que "l'attaque a été effectuée a été plutôt impressionnante" avant même de leur offrir des "opportunités de conseil" s'ils retournent les fonds.
Face à une situation très embarrassante, la communauté crypto n'achète pas tout le DE BOUBA; Bear Baron Hellspawn a dit:
« Soit heure amateur par soi-disant « apporteur de liquidité »
Soit à l'intérieur du travail. Parce qu'à moins que vous ne fassiez du vaudou, vous ne pouvez pas supposer que les jetons $ OP seront transférés à une adresse très SPÉCIFIQUE.
Wintermute a terminé sa déclaration par une menace à «l'attaquant» en déclarant:
« nous nous engageons à 100 % à restituer tous les fonds, à suivre la ou les personnes responsables de l'exploit, à les doxer entièrement et à les remettre au système juridique correspondant. Rappelez-vous que les voleurs doivent avoir de la chance à chaque fois. Les flics n'ont qu'à avoir de la chance une fois.
Wintermute est actuellement à Consensus 2022 au Texas, à partir du 9 juin. CryptoSlate a contacté à la fois le PDG et le COO, mais aucune réponse n'a été reçue au moment de la publication.
Source : https://cryptoslate.com/optimism-foundation-sends-20m-to-the-wrong-wallet-op-drops-36/