Durch Transaktionsfehler wurden 20 Millionen OP-Token gestohlen
Durch einen Transaktionsfehler wurden 20 Millionen Optimismus-Token geklaut.
Einem unbekannten Angreifer gelang es, 20 Millionen OP-Token zu stehlen, die fälschlicherweise an eine Layer-1-ETH-Wallet anstelle einer Layer-2-Optimismus-Adresse geschickt wurden.
Die Optimismus Foundation, die Nachhaltigkeit durch Software rund um die Ethereum-Technologie fördert, hat kürzlich ihren Optimism Token an verschiedenen zentralisierten Börsen eingeführt.
Leider kam es nach dem Start zu ernsthaften Problemen. In einer Partnerschaft mit Wintermut, einem Liquiditätsanbieter, wurden 20 Millionen OP nach einer Tornado-Überweisung umgeleitet und an eine nicht verbundene Wallet geschickt, um die Historie der betreffenden Adresse zu verschleiern.
In Vorbereitung auf die Transaktion hatte Optimism zwei Test-Transaktionen an Wintermute gesendet, von denen bestätigt wurde, dass sie den beabsichtigten Empfänger erreicht haben. Die Token haben es allerdings nie an den eigentlichen Bestimmungsort geschafft.
Ursprünglich wurden die Token von der Layer-2-Wallet von Optimism an die Adresse von Wintermute gesendet, die sich als Layer-1-Ethereum-Wallet herausstellte. Aufgrund einer Inkompatibilität bei der Multi-Sig-Technologie, die für die Layer-2-Adresse von Optimism nicht verfügbar ist, führte dies dazu, dass die Gelder in Layer-1 hängen blieben und für keine der Parteien zugänglich waren.
Wintermute bemühte sich, zu Layer-2 zu wechseln, um an die Gelder zu kommen. LEider waren sie damit nicht die einzigen. Einem Unbekannten ist es gelungen, den Contract mit anderen Parametern bereitzustellen, bevor Wintermute es konnte.
Zum Zeitpunkt des Schreibens haben die gestohlenen Token einen Wert von 17,2 Millionen USD. Der unbekannte Empfänger hat in der Zwischenzeit 1 Million OP verkauft und hält immer noch die restlichen Token.
Sowohl Wintermute als auch Optimism versuchen vergeblich, den Unbekannten zu kontaktieren.
Wintermute wandte sich nicht nur an die Optimism-Community sondern auch an den Unbekannten.
„Wir sind offen dafür, dies als einen White-Hat-Exploit zu sehen. Darüber hinaus war die Art und Weise, wie der Angriff durchgeführt wurde, ziemlich beeindruckend, und wir können sogar Beratungsmöglichkeiten oder andere Formen der Zusammenarbeit für die Zukunft in Betracht ziehen. Wir sind auch mit dem Szenario zufrieden, in dem die verbleibenden 19 Millionen Token an die Optimism-Wallet zurückgegeben werden.“
Wintermute sagt weiter, dass man dem Unbekannten eine Frist von 1 Woche setzt, um sich zu melden oder das Geld einfach zurückzugeben. Danach wird man versuchen, die Identität herauszufinden und die Sache über Gericht zu klären.
Wintermute hat die Schuld für den Vorfall auf sich genommen und sich dazu verpflichtet, die verbleibenden Token von der für den Exploit verantwortlichen Person zurückzukaufen, falls sie nicht zurückgegeben werden.
Bildquelle: Pixabay