今早Optimism(OP)官方公布2000万枚OP被黑客盗窃,而且这个黑客比较牛逼,把100万枚OP转给了V神的钱包地址,从这顿操作可以看出两点,第一:黑客不缺钱,把100万枚op转给了V神,明显的在展示自己的实力,第二:如果黑客盗窃之后选择砸盘很容易的,但他没有这么做,而且做市商业发表承诺会进行一个护盘,大概意思就是,黑客如果卖多少OP,做市商会买回来多少币,在昨天做市商已经把100万枚op买了回来。
转摘问题请到公众号蟹老板的进击之路
Optimism的详细介绍之前蟹老板出过一期,会成为空投中的代名词吗?)
接下来,我们看一下Optimism整个事情的进展:
事件时间表
两周前,OptimismFoundation聘请Wintermute为其在中心化交易所上市的OP代币提供流动性。作为协议的一部分,Wintermute获得了2000万美元的OP贷款。
最初,这笔贷款将被部署在Wintermute的Optimism钱包中。当做市商将钱包地址传达给Optimism团队时,做市商犯了一个严重错误。在主网上部署了一段时间的Gnosis保险箱,由于内部错误,与接收地址使用了同一个钱包。正如你们中的一些人可能知道的那样,这不是一件明智的事情——控制主网Safe并不能保证控制其他EVM兼容链。
于5月30日通知了Optimism团队。由于第二天的发布是一个明确的优先事项,同意接收额外的2000万个代币,同时探索取回资金的方法。与此同时,联系了GnosisSafe团队,请求他们协助找回资金。在与Optimism和Safe团队协商后,Wintermute做出评估认为这些资金有可能收回,而且除了Wintermute之外没有人可以收回这些资金。评估还认为,这是一次高风险检索,只能尝试一次,需要Safe支持。检索计划于6月7日进行。然而,资金只能由Wintermute收回的假设被证明是错误的。
开发
然而,有人已经做好了他们的功课。在将情况通知SafeandOptimism后不到24小时,钱包0x8BcFe4f1358E50A1db10025D731C8b3b17f04DBB已通过龙卷风现金转账获得资金它通过重放来自Eth主网的GnosisSafe
MasterCopy1.1.1部署来继续执行重放攻击。然后,他们使用先前部署的合约0xE7145dd6287AE53326347f3A6694fCf2954bcD8A来部署每批162个的保险库。黑客随后继续出售100万个OP代币换取ETH,并通过Synapse和Hop桥接回L1,然后在主网上使用tornado现金。
做市商计划对此做些什么
攻击者仍拥有1900万个OP代币。不确定他们为什么选择不一次全部清算。有希望这是一个白帽漏洞,在这种情况下,剩余的资金可能是可以收回的。然而,目前的运作前提是事实并非如此,因为我们没有收到他们的任何通信,并且我们在链上的消息没有得到答复。
想澄清一件事——最初的错误是Wintermute100%的错,因此将在每次攻击者出售OP以最终使协议完整时继续购买.知道它可能会在代币中造成价格波动,并将尽最大努力使影响平滑。
给剥削者的消息
我们希望漏洞利用者也会阅读此内容。这是我们给您的信息:
我们乐于将其视为白帽漏洞利用。此外,攻击的执行方式令人印象深刻,我们甚至可以考虑未来的咨询机会或其他形式的合作。我们也对剩余1900万枚代币返回Optimism钱包的场景感到满意:
你有一周的时间考虑成为一名白帽子。如果上述情况没有发生,我们将100%承诺返还所有资金,跟踪漏洞利用负责人,对他们进行完全人肉检测并将其移交给相应的司法系统。请记住,强盗每次都需要幸运。只需要幸运一次。这不是“代码就是法律”的理论论证。这是你拿着一个人留下的现金袋。我们的粗心仍然会让你成为罪犯。我们已经开始调查潜在的线索,在某些情况下没有通知各自的执法机构。考虑你的选择,选择善良和乐观,而不是生活在恐惧中
以上是做市商发出的一个事件的流程,和后面的应对方法接下来,我们用通俗的解释来讲一下:
1/被盗原因?通俗解释就是,Optimism给了Wintermute2000万枚OP做市,但是Win给的钱包与部署多签是同一个L1地址,这个多签并未部署到L2运行的Optimism上,之后Wintermute尝试将L1多重签名合约部署到L2上的同一地址,攻击者抓住机会将多重签名部署到具有不同初始化参数的L2并控制了2000万枚OP。
2/Wintermute发布声明表示,这完全是他们的过错,因此将在每次攻击者出售OP时购买,并表示将尽最大努力使影响变小,减少价格的波动。
3/最后,Wintermute对攻击者表示,你有一个星期的时间考虑成为一个白帽,归还资金,如果没有发生,我们承诺100%归还资金,并跟踪你,人肉你,将你移交给司法系统。请记住,强盗每次都需要走运,只需要幸运一次。考虑一下你的选择,选择善良和乐观,而不是生活在恐惧中。
再来说一下我的看法:
首先黑客第一时间盗窃后,并没有选择去卖币砸盘,而且把其中的100万枚op去给V神的钱包地址,这就是在给在座的各位证明,黑客不缺钱,就是想装一下,展示一下自己的实力,其次这次事情的起因是因为做市商的一个失误导致的,而并不是OP本身项目方搞出来,所以性质不一样,而且做市商这波很快就做出回应,承诺黑客卖多少或者转出多少,将以同数量的代币买回来。我个人也持有OP,但我觉得OP这次伤不了元气的。
说一下题外话现在市场这么多项目被频繁盗窃,这里就不得不提出,我们社区投研组的眼光有多辣,前段时间我们AXA社区承接了一个区块链安全项目Interlock它的建立宗旨就是让DeFi拥有机构级的安全性、和增加Web2安全性与去中心化的安全性。这个项目的团队属于互联网顶级的专业团队以及项目的投资机构都是顶级的,目前市场还没有这块的龙头,相信后续上线交易所时,将展示它独特的实力!同时要恭喜一下成功捐赠成功的友友们了!熊市投资价值项目,牛市看收益!还是那句话,价值投资永不过时,就看你自己的选择了!
今天的分享就到这里,后期//工重号:蟹老板的进击之路//会给大家带来其他赛道的龙头项目分析。感兴趣的可以点个关注。我也会不定期整理一些前沿咨询和项目点评,欢迎各位志同道合的币圈人一起来探索。
大家看完记得点赞再看转发!所有咨询平台均为蟹老板的进击之路
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。