以太坊 Layer-2 解决方案 Optimism 的 2000 万个代币被黑客盗走

加密岛报道，以太坊扩容协议背后的公司昨天宣布，在准备为 Optimism Collective DAO推出原生 OP 代币时，不小心将 2000 万个代币发送到了错误的区块链地址。该错误导致黑客窃取了所有 2000 万个 OP 代币。

Optimism 是一种低成本且闪电般快速的以太坊 L2 区块链。

OP 代币是 Optimism Layer-2 (L2) 的原生代币，部分供应于 6 月 1 日空投给网络用户。L2 解决方案有助于缓解第一层区块链（如以太坊）的拥塞。

Optimism Foundation 在 Twitter 上 披露了该漏洞被利用。

怎么发生的 ？

Optimism基金会聘请做市商 Wintermute 为 OP 提供初始流动性。更深的流动性意味着更少的波动性，因此 Optimism 借给 Wintermute 2000 万个 OP 作为交易的一部分，以顺利推出 OP 代币。

Wintermute 确认其 Optimism 钱包已收到两笔测试存款，之后 Optimism 基金会发送了全部 2000 万个 OP 代币。此时，Wintermute 发现他们实际上无法检索代币，2000 万个代币被发送到 Wintermute 的以太坊 (L1) 地址，但由于该地址尚未部署或同步到 Optimism (L2) 地址，这种技术疏忽使合约受到攻击，其中一个不良行为者自己控制了 L2 上的合约。

当 Wintermute 意识到这个问题时，它“开始了一项恢复行动，目标是将 L1 多重签名合约部署到 L2 上的同一地址”，但它试图补救这种情况为时已晚。

“攻击者能够在恢复操作完成之前将多重签名部署到具有不同初始化参数的 L2 并控制 2000 万个 OP 代币。”

多重签名合约需要多个密钥持有者的批准才能执行交易。

Wintermute为这一错误负责

Wintermute 毫不含糊地为这一漏洞负责。

“我们想澄清一件事——最初的错误是Wintermute 100% 的错，”

这家做市商后来在其论坛帖子中写道。  

为了弥补，Wintermute 还承诺在攻击者出售它们时购买等量的 OP 代币，并且已经为前 100 万个代币这样做了。 

在以 720.7 ETH的价格出售 100 万个代币后，截至 6 月 8 日，黑客的地址仍持有 1900 万个 OP。但攻击者是否会出售所有代币还有待观察。 

另外Optimism 和 Wintermute 都多次尝试联系黑客，但均无济于事。两家公司今天都公开了这次攻击的细节，部分原因是希望引起黑客的注意。在昨天的一篇博文中，Wintermute直接向这位神秘的强盗求助，称赞他们的老练，并为他们提供了潜在的就业机会。

“攻击的执行方式相当令人印象深刻，我们甚至可以考虑在未来提供咨询机会或其他形式的合作，”Wintermute写道。

如果剩余的 1900 万个 OP 代币在一周内没有归还，该公司声称它将把黑客身份的证据交给执法部门。

这些公司拥有什么证据，以及黑客必须采取什么动机来坦白，仍然是悬而未决的问题。

“考虑你的选择，”Wintermute在其博客文章中对黑客咆哮道，“选择善良和乐观，而不是生活在恐惧中。”