El periodo de luna de miel de la solución de escalamiento de capa 2 Optimism se ha visto interrumpido, ya que un fallo en el contrato inteligente de su creador de mercado ha provocado la pérdida de 20 millones de tokens OP.

El exploit tuvo lugar el 26 de mayo, pero acaba de ser comunicado a la comunidad. El domingo se vendieron un millón de tokens valorados en unos 1,3 millones de dólares. Un millón de tokens adicionales valorados en unos 730.000 dólares fueron transferidos a la dirección de Ethereum de Vitalik Buterin en Optimism hoy mismo a las 12:26 am UTC. Los tokens restantes están inactivos por ahora, pero podrían venderse en cualquier momento o utilizarse para influir en las decisiones de gobernanza.

Los tokens OP son el token nativo de la cadena de bloques de capa 2 (L2) de Optimism, y una parte del suministro se distribuyó a los usuarios de la red el 1 de junio. Las soluciones L2 ayudan a aliviar la congestión en una blockchain de capa 1 (L1) como Ethereum.

Un resumen de eventos del equipo de Optimism el jueves detalló cómo los 20 millones de tokens OP estaban destinados a ser utilizados por la firma de creación de mercados de criptomonedas Wintermute. Después de enviar dos transacciones de prueba, el equipo de Optimism envió la cantidad completa de tokens.

Sin embargo, Wintermute descubrió que no podía acceder a los tokens porque el contrato inteligente que utilizaba para aceptar los tokens todavía estaba en L1 y no había sido actualizado para ser desplegado en Optimism. Este descuido técnico abrió el contrato a un ataque, en el que un mal actor tomó el control del contrato en la L2.

En cuanto Wintermute se dio cuenta del problema, «inició una operación de recuperación con el objetivo de desplegar el contrato multisig en L1 en la misma dirección en L2», pero su intento de remediar la situación fue demasiado tarde.

«Un atacante fue capaz de desplegar el multisig en L2 con diferentes parámetros de inicialización antes de que se completara la operación de recuperación y tomó el control de los 20 millones de tokens OP».

Un contrato multisig requiere la aprobación de múltiples titulares de claves para ejecutar una transacción.

En un mensaje del jueves a la comunidad de Optimism, Wintermute asumió toda la responsabilidad por el exploit. La firma declaró que realizaría recompras de OP iguales a la cantidad que el explotador venda como medio de hacer «los mejores esfuerzos para suavizar los efectos» de la volatilidad del precio.

Wintermute también ha ofrecido aceptar el incidente como un exploit de sombrero blanco si el hacker accedía a devolver 19 millones de tokens en el plazo de una semana. Esta oferta se hizo antes de que el hacker transfiriera otro millón de tokens.

Las respuestas al mensaje de Wintermute aplaudieron en su mayoría a la firma por su transparencia al revelar el problema y por aceptar la culpa de lo sucedido.

A corto plazo, el equipo de Optimism ha concedido a Wintermute una subvención adicional de 20 millones de euros «para que puedan continuar con su trabajo a medida que se desarrollan las cosas». Pero el equipo también señaló que estos esfuerzos de creación de mercado son temporales.

«La comunidad no debe esperar ni confiar en que la Fundación Optimism apoye los esfuerzos de provisión de liquidez en el futuro».

Chris Blec, presentador del podcast Proof of Decentralization, dijo que el equipo había considerado (pero rechazó) recuperar el control de los fondos robados realizando una actualización de la red. Esto significa que, en su opinión, Optimism (como la mayoría de los proyectos financieros descentralizados con claves de administrador) está «peligrosamente centralizado».

Blec también sugirió que la explicación más obvia para los exploits implica a los más involucrados, lo que significa que alguien involucrado con Wintermute puede haber realizado el ataque por sí mismo. Preguntó: «¿Por qué todo el mundo en este espacio se opone siempre a investigar las posibilidades más obvias?» De momento no hay pruebas que apoyen esta teoría.

Los inversores de OP han respondido negativamente a la actualización, ya que el precio del token ha bajado un 31,2% cotizando a 0,76 dólares en las últimas 24 horas, según CoinGecko.

Print Friendly, PDF & Email