انتهت فترة شهر العسل لحل التوسيع أوبتيميزم من الطبقة الثانية بسرعة حيث أدت إحدى هجمات الاستغلال في العقد الذكي لصانع السوق إلى خسارة ٢٠ مليون توكن OP.
حدث الاستغلال يوم ٢٦ مايو ولكن تم الإبلاغ عنه للمجتمع اليوم. وتم بيع مليون توكن بقيمة ١,٣ مليون دولار يوم ٥ يونيو. تم تحويل مليون توكن إضافي بقيمة حوالي ٧٣٠٠٠٠ دولار إلى عنوان إيثريوم لفيتاليك بوترين على أوبتيميزم في وقتٍ سابق اليوم في الساعة ١٢:٢٦ صباحًا بالتوقيت العالمي المنسق. ولا تزال التوكنات المتبقية خاملة في الوقت الحالي ولكن يمكن بيعها في أي وقت أو استخدامها للتأثير على قرارات الحوكمة.
Hey folks--in the interest of transparency, we'd like to share some details about an ongoing situation:https://t.co/915vIgRIJG
— Optimism (✨_✨) (@optimismPBC) June 8, 2022
Summary below
توكن OP هو التوكن الأصلي لطبقة أوبتيميزم -٢ (L٢) وتم توزيع جزء من التوريد لمستخدمي الشبكة في الأول من يونيو. تساعد حلول الطبقة ٢ في تخفيف الازدحام على بلوكتشين من الطبقة الأولى مثل إيثريوم.
وقد قام ملخص للأحداث من فريق أوبتيميزم يوم الخميس بتفصيل كيف تم تصميم ٢٠ مليون من توكن OP لاستخدامها من قبل شركة صناعة سوق العملات المشفرة وينترميوت. بعد إرسال معاملتين اختباريين، أرسل فريق أوبتيميزم المبلغ الكامل من التوكنات.
ومع ذلك، اكتشف وينترميوت أنه لا يمكنه الوصول إلى التوكنات لأن العقد الذكي الذي استخدمه لقبول التوكنات كان لا يزال على الطبقة ١ ولم يتم تحديثه ليتم نشره على أوبتيميزم. أدى هذا الخطأ الفني إلى تعرض العقد لهجوم فرض فيه ممثل سيء سيطرته على العقد على الطبقة ٢ بنفسه.
وبمجرد أن أصبح وينترميوت على علم بالمشكلة، "بدأ عملية استرداد بهدف نشر عقد الطبقة ١ متعدد التوقيعات على نفس العنوان في الطبقة ٢"، لكن محاولته لتصحيح الوضع كانت متأخرة جدًا.
"كان المهاجم قادرًا على نشر التوقيع المتعدد على الطبقة ٢ بمعلمات تهيئة مختلفة قبل اكتمال عملية الاسترداد والسيطرة على ٢٠ مليون توكن OP."
يتطلب عقد التوقيعات المتعددة موافقة أصحاب المفاتيح المتعددة لتنفيذ المعاملة.
وفي رسالة بتاريخ ٩ يونيو إلى مجتمع أوبتيميزم، تحمل وينترموت المسؤولية الكاملة عن هذا الاستغلال. حيث صرحت الشركة بأنها ستقوم بعمليات إعادة شراء OP مساوية للمبلغ الذي يبيعه المستغل كوسيلة لبذل "أفضل الجهود لتخفيف آثار" تقلب الأسعار.
كما عرضت وينترميوت أيضًا قبول الحادث باعتباره استغلالًا أخلاقيًا إذا وافق المتسلل على إعادة ١٩ مليون توكن في غضون أسبوع واحد. وقد تم تقديم هذا العرض قبل أن يقوم المخترق بتحويل مليون توكن آخر.
أشادت الردود على رسالة وينترميوت في الغالب بالشركة لشفافيتها في الكشف عن المشكلة وقبول اللوم عما حدث.
وعلى المدى القصير، منح فريق أوبتيميزم وينترموت منحة OP إضافية قدرها ٢٠ مليون "حتى يتمكنوا من مواصلة عملهم مع تطور الأمور". لكن الفريق أشار أيضًا إلى أن جهود صناعة السوق هذه مؤقتة.
"لا ينبغي للمجتمع أن يتوقع أو يعتمد على مؤسسة أوبتيميزم لدعم جهود توفير السيولة في المستقبل."
قال مضيف بودكاست إثبات اللامركزية، كريس بليك، إن الفريق فكرت في (لكنها رفضت) استعادة السيطرة على الأموال المسروقة من خلال إجراء ترقية للشبكة. وهذا يعني أنه من وجهة نظره، فإن أوبتيميزم (مثل معظم مشاريع التمويل اللامركزي مع مفاتيح الإدارة) "مركزية بشكل خطير".
Some $OP tokens got hijacked.
— Chris Blec (@ChrisBlec) June 8, 2022
Optimism is grappling with the idea of whether it should use its multisig to take the tokens back from the thief.
In this tweet, they're saying "we coullllld do it.. but then you'd all hate us.. so we won't.. for now."
DANGEROUSLY CENTRALIZED. https://t.co/p7JiPY2TzU
استجاب مستثمرو OP بشكل سلبي للتحديث حيث انخفض سعر التوكن بنسبة ٣١,٢٪ عند ٠,٧٦ دولار خلال الأربع وعشرين ساعة الماضية وفقًا لكوين غيكو.