Yayasan Optimisme telah mengeluarkan pernyataan mengonfirmasi bahwa 20 juta token OP yang dimaksudkan untuk mitra penyedia likuiditas telah dikirim ke alamat yang salah. Harga token OP turun dari $1.12 pada 8 Juni menjadi hanya $0.70 setelah berita tersebut tersiar. Pernyataan itu berbunyi,
“Yayasan Optimisme melibatkan Wintermute untuk layanan penyediaan likuiditas … hibah sementara sebesar 20 juta token OP dialokasikan ke Wintermute dari Yayasan Dana Mitra.
Wintermute memberikan alamat untuk menerima token yang dipinjam. Yayasan Optimisme mengirim dua transaksi uji terpisah, dan atas konfirmasi Wintermute untuk masing-masing, mengirimkan sisanya. Sayangnya, Wintermute kemudian menemukan bahwa mereka tidak dapat mengakses token ini karena mereka telah memberikan alamat untuk multisig Ethereum (L1) yang belum mereka terapkan ke Optimism (L2).”
Mitra yang disewa untuk membantu memfasilitasi layanan likuiditas tidak menggunakan produk Optimisme telah mempekerjakan mereka untuk mendukung. Meskipun bisu musim dingin mengklaim sebagai "pembuat pasar algoritmik global terkemuka dalam aset digital", ia telah membuat apa yang dapat dianggap sebagai kesalahan mendasar dalam kripto, terutama bagi pembuat pasar algoritmik.
Sebagai imbalannya, Wintermute memiliki:
"berkomitmen untuk membeli kembali token yang hilang. Mereka akan memantau alamat yang menyimpan token yang hilang ini dan membeli saat alamat tersebut dijual.”
Proses pemulihan
Optimisme menyatakan bahwa Wintermute telah berusaha untuk menyelesaikan situasi tanpa perlu membeli kembali token saat mereka “memulai operasi pemulihan dengan tujuan untuk menyebarkan kontrak multisig L1 ke alamat yang sama di L2.” Namun, Optimisme mengklaim:
“seorang penyerang dapat menyebarkan multisig ke L2 dengan parameter inisialisasi yang berbeda sebelum upaya ini diselesaikan, dengan asumsi kepemilikan 20m OP.”
Dengan kesalahan itu, Wintermute pada dasarnya meninggalkan 20 juta token OP di jalan bagi siapa saja untuk mengambilnya dengan menyebarkan kontrak Optimism L2 ke alamat tersebut. Jadi, itu bisa dilihat sebagai langkah PR untuk menyebut pemilik baru sebagai "penyerang;" mempertanyakan validitas "eksploitasi" atau "peretasan". Optimisme telah terjadi sejak melaporkan bahwa 1 juta OP telah terjual dari dompet.
Siapa pun yang memperoleh akses ke dompet tidak diragukan lagi telah membuat langkah abu-abu secara etis dengan mengeksploitasi ketidakmampuan pembuat pasar otomatis. Namun, pernyataan Wintermute baru-baru ini menunjukkan bahwa ada lebih banyak situasi daripada penerapan kontrak cerdas yang sederhana.
Tanggapan Wintermute
Wintermute menulis sebuah tanggapan kepada komunitas Optimisme melalui forum tata kelolanya. Di dalamnya, tim menjelaskan:
“Saat kami mengomunikasikan alamat dompet ke tim Optimism, kami membuat kesalahan serius. Kami memiliki brankas Gnosis yang digunakan di mainnet untuk sementara waktu dan karena kesalahan internal, kami telah mengomunikasikan dompet yang sama dengan alamat penerima.
Postingan tersebut mengkonfirmasi bahwa ini “bukan hal yang cerdas untuk dilakukan.” Namun, tampaknya ini terjadi pada 30 Mei, sehari sebelum peluncuran mainnet untuk Optimism.
Wintermute kemudian mengambil alih 20 juta OP lebih lanjut dengan “menyediakan $50 juta USDC sebagai jaminan.” Namun, pihak ketiga lebih cepat daripada Wintermute dalam mengambil dana, "penyerang,":
“melanjutkan dengan melakukan serangan replay dengan memutar ulang penyebaran Gnosis Safe MasterCopy 1.1.1 dari Eth mainnet. Mereka kemudian menggunakan kontrak 0xE714 yang dikerahkan sebelumnya… untuk menyebarkan brankas per kumpulan 162.”
Wintermute kemudian menjelaskan metode rumit yang digunakan pihak ketiga eksternal untuk mengakses dana tersebut melalui setoran Tornado Cash. Penggambaran itu memang memberi kesan bahwa terjadi serangan yang kompleks.
Memang, Wintermute memuji serangan itu dengan menyatakan, “serangan yang dilakukan cukup mengesankan” bahkan sebelum menawarkan mereka “peluang konsultasi” jika mereka mengembalikan dana tersebut.
Dalam menghadapi situasi yang sangat memalukan, komunitas crypto tidak semuanya membeli cerita; Bear Baron Hellspawn berkata:
“Entah jam amatir oleh apa yang disebut “penyedia likuiditas”
Baik pekerjaan dalam. Karena kecuali jika Anda melakukan voodoo sh*t, Anda tidak dapat berasumsi bahwa token $OP akan ditransfer ke alamat yang sangat KHUSUS.”
Wintermute mengakhiri pernyataannya dengan ancaman kepada "penyerang" yang menyatakan,
“Kami 100% berkomitmen untuk mengembalikan semua dana, melacak orang yang bertanggung jawab atas eksploitasi, sepenuhnya mendokumentasikannya dan mengirimkannya ke sistem yuridis yang sesuai. Ingatlah bahwa perampok harus beruntung setiap saat. Polisi hanya perlu beruntung sekali.”
Wintermute saat ini berada di Konsensus 2022 di Texas, mulai 9 Juni. CryptoSlate menghubungi CEO dan COO, tetapi tidak ada tanggapan yang diterima pada saat penerbitan.
Sumber: https://cryptoslate.com/optimism-foundation-sends-20m-to-the-wrong-wallet-op-drops-36/