Optimism layer-2 扩容解决方案的蜜月期已被缩短,因为其做市商智能合约的漏洞导致损失了 2000 万个 OP 代币。

该漏洞发生在 5 月 26 日,但刚刚向社区报告。 6 月 5 日售出了 100 万个价值约 130 万美元的代币。另外价值约73万美元的100万代币在UTC时间今天凌晨12:26被转移到Vitalik Buterin的以太坊地址。其余的代币目前处于休眠状态,但可以在任何时候出售,或用于影响治理决策。

大家好,为了提高透明度,我们想分享一些正在发生的情况的细节

下面是总结

— Optimism (✨_✨) (@optimismPBC) 2022年6月8日

OP 代币是 Optimism Layer-2 (L2) 的原生代币,部分供应已于 6 月 1 日空投给网络用户。L2 解决方案有助于缓解第一层区块链(如以太坊)的拥塞。

周四来自 Optimism 团队的事件摘要详细说明了 Wintermute 加密货币做市公司打算如何使用 2000 万个 OP 代币。在发送了两笔测试交易后,Optimism 团队发送了全部的代币。

然而 Wintermute 发现它无法访问代币,因为它用于接受代币的智能合约仍在 L1 上,并且尚未更新以部署在 Optimism 上。这种技术疏忽使合约受到攻击,其中一个不良行为者自己控制了 L2 上的合约。

当 Wintermute 意识到这个问题时,它“开始了一项恢复行动,目标是将 L1 多重签名合约部署到 L2 上的同一地址”,但它试图补救这种情况为时已晚。

“攻击者能够在恢复操作完成之前将多重签名部署到具有不同初始化参数的 L2 并控制 2000 万个 OP 代币。”

多重签名合约需要多个密钥持有者的批准才能执行交易。

在 6 月 9 日给 Optimism 社区的消息中,Wintermute 对该漏洞负有全部责任。该公司表示,它将执行与黑客出售的数量相等的 OP 回购,作为“尽最大努力消除价格波动的影响”的一种手段。

如果黑客同意在一周内归还 1900 万个代币,Wintermute 还提出接受这一事件作为白帽攻击。这个提议是在黑客转移另外一百万个代币之前提出的。

对 Wintermute 消息的回复大多称赞该公司在揭露问题方面的透明度,并为所发生的事情承担责任。

在短期内,Optimism 团队已向 Wintermute 额外授予 2000 万 OP 补助金,“这样他们就可以随着事情的发展继续他们的工作。”但该团队也指出,这种做市努力是暂时的。

“社区不应该期望或依赖Optimism基金会来支持未来的流动性供应工作。”

去中心化证明播客主持人克里斯·布莱克(Chris Blec)表示,该团队曾考虑(但拒绝)通过执行网络升级来重新控制被盗资金。这意味着在他看来,Optimism(就像大多数带有管理员密钥的 DeFi 项目一样)是“危险的中心化”。

相关的人可能自己进行了攻击。他问道:“为什么这个领域的每个人总是如此反对审查最明显的可能性?”现阶段没有证据支持这一理论。Wintermute 还建议,对漏洞利用最明显的解释涉及那些最密切相关的人,这意味着与 Blec