- Vitalik Buterin und Ethereum-Sicherheitsexperte Yoav Weiss haben jeweils eine Million OP-Token von einem Hacker erhalten.
- Der Marketmaker Wintermute hat die Verantwortung für den Hack übernommen und versprochen, die gestohlenen Gelder zurückzugeben.
Am 8. Juni erklärte Optimism, man habe versehentlich 20 Millionen OP-Token für die Optimism Collective DAO an die falsche Adresse geschickt hat. Prompt nutzte ein Hacker die Gelegenheit und stahl die 20 Millionen. Dann schickte er fast eine Million OP-Token an Ethereum-Gründer Vitalik Buterin. Das wurde von Diebstahldetektor PeckShield bestätigt.
#PeckShieldAlert ~1m $OP transfered to @VitalikButerin from Wintermute/OP exploiters https://t.co/U1c2MyeObE pic.twitter.com/wdLOd0XveC
— PeckShieldAlert (@PeckShieldAlert) June 9, 2022
#PeckShieldAlert ~1m $OP transfered to @VitalikButerin from Wintermute/OP exploiters https://t.co/U1c2MyeObE pic.twitter.com/wdLOd0XveC
— PeckShieldAlert (@PeckShieldAlert) June 9, 2022
Der Hacker hat die Verwendung von OP-Tokens nicht ausgenutzt, um die Governance von Optimism zu manipulieren. Stattdessen hat er eine Million OP-Stimmrechte an den Sicherheitsexperten der Ethereum Foundation, Yoav Weiss, vergeben. Gerade als Yoav den Ablauf des Hacks erläuterte, erhielt auch er eine Million OP-Token. Aufgrund der Ereignisse glaubt Weiss, dass es sich um einen Whitehat-Exploit handelt. Er schrieb:
„Und die Handlung verdichtet sich. Während ich diese Erklärung schrieb, übertrug der Angreifer das Stimmrecht für die eine Million OP an *mich*. Danke fürs Delegieren 🙂 Hinweis: Nein, ich bin nicht der Angreifer und ich weiß nicht, wer es ist. Aber jetzt vermute ich, dass es ein Whitehat ist.“
Die Ereignisse des Optimism-Hacks
Die nativen OP-Token von Optimism dienen als Governance-Token für seine DAO. Um diese 20 Millionen OP-Token über einen Airdrop zu verteilen, beauftragte Optimism den Market Maker Wintermute. Bevor die 20 Millionen OP-Token letzte Woche an Wintermute geschickt wurden, hatte Optimism zwei erfolgreiche Testtransaktionen durchgeführt. Als man schließlich die 20 Millionen OP-Token schickten, teilte Wintermute mit, dass dieser Betrag für nicht zugänglich sei.
Wie konnte das passieren? Genau wie Polygon ist auch Optimism eine Layer-2-Skalierbarkeitslösung für Ethereum. Diese Lösungen sind jedoch mit einer Reihe von Risiken verbunden. In diesem Fall schickte Optimism 20 Millionen OP-Token an die Ethereum (L1)-Adresse von Wintermute. Da die Adresse jedoch nicht mit einer Optimism (L2)-Adresse synchronisiert wurde, blieben die Gelder unzugänglich oder schwebten auf L1. Der Hacker nutzte diese Situation aus.
Wintermute hat die volle Verantwortung für diesen Fehler übernommen. Außerdem hat man den Hacker aufgefordert, die gestohlenen Optimism-Gelder zurückzugeben. Wintermute erklärte auch, dass man bereit sei, mit dem Hacker für zukünftige Beratungsmöglichkeiten zusammenzuarbeiten. Wintermute hat dem Hacker eine Woche Zeit gegeben, um zu reagieren. Danach will das Unternehmen den Hacker verfolgen.
Wintermute later discovered they could not access these tokens, because the provided address was for an Ethereum/L1 multisig that they had not yet deployed to Optimism/L2. They began a recovery operation with the goal to deploy the L1 multisig contract to the same address on L2.
— Optimism (@Optimism) June 8, 2022
Die Mitarbeiter von Wintermute haben der Optimism Foundation außerdem mitgeteilt, dass die Gelder möglicherweise durch eine risikoreiche, einmalige Operation zurückgeholt werden können. Seit dem Hack hat Wintermute bereits eine Million OP-Tokens gekauft.
All diese Ereignisse haben jedoch einen schlechten Ruf der OP-Token bei den Investoren hinterlassen. Seit der Markteinführung ist der Kurs der OP-Token um 80% gefallen. Derzeit steht er bei 0,82 Dollar.