Optimism (OP) perd 20 millions de tokens après les avoir envoyés à la mauvaise adresse
Voilà une petite erreur qui pourrait coûter cher. La solution de seconde couche Optimism (OP) devait envoyer 20 millions de ses tokens à l'organisation Wintermute, mais cette dernière n'a pas fourni la bonne adresse. Par conséquent, des millions de tokens OP ont été envoyés à la mauvaise adresse, et sont désormais entre les mains d'un individu inconnu qui a déjà commencé à en transférer une partie via Tornado Cash.
le 9 juin 2022 à 12:00.
3 minutes de lecture
Optimism égare 20 millions de tokens OP
La solution de seconde couche (layer 2) d'Ethereum (ETH) Optimism, qui a récemment lancé son premier airdrop, s'est vue dérober 15 millions de dollars sous forme de tokens OP suite à une erreur de transaction.
Hey folks--in the interest of transparency, we'd like to share some details about an ongoing situation:https://t.co/915vIgRIJG
Summary below ??
— Optimism (✨?_?✨) (@optimismPBC) June 8, 2022
Optimism a envoyé 20 millions de tokens OP (environ 15 millions de dollars) à l'organisation Wintermute à travers le fonds dédié aux partenaires du réseau il y a 2 semaines, notamment afin de fournir de la liquidité aux exchanges.
Seulement, l'organisme a transmis son adresse de layer 1, et non celle de layer 2 sur laquelle fonctionne Optimism. Par conséquent, 15 millions de dollars de tokens OP ont été transmis… à une mauvaise adresse.
« En communiquant l'adresse du wallet à l'équipe d'Optimism, nous avons commis une grave erreur. Nous avions un wallet multisig Gnosis Safe déployé sur le mainnet depuis un certain temps et, en raison d'une erreur interne, nous avons communiqué le même portefeuille pour l'adresse de réception. »
👉 Découvrez les meilleurs portefeuilles pour Ethereum (ETH)
Déroulé des événements
Lorsque l'équipe de Wintermute a découvert l'erreur, le 30 mai, cette dernière a affirmé que les fonds, bien que sur une mauvaise adresse, demeuraient en lieu sûr car inaccessibles. Et pourtant, quelqu'un semble avoir réussi à s'emparer des tokens, ces derniers ayant été déplacés vers une autre adresse.
Comme indiqué dans le communiqué officiel de Wintermute, l'individu aurait déjà vendu un million d'entre eux à l'heure où nous rédigeons ces lignes.
« Malheureusement, un attaquant a pu déployer le multisig sur le layer 2 avec des paramètres d'initialisation différents avant que l'opération de récupération ne soit terminée et a pris le contrôle des 20 millions de tokens OP. Cette adresse a depuis vendu 1 million de jetons, et peut facilement vendre le reste. »
Le voleur a ainsi envoyé les tokens vers Ethereum, avant de les transférer vers une autre adresse de portefeuille en passant par Tornado Cash, une pratique tout à fait courante lors des hacks afin d'effacer les traces des transactions pour rendre les fonds intraçables.
Wintermute a cependant totalement admis son erreur, et s'est engagé à rembourser chaque token qui serait vendu depuis cette adresse. C'est d'ailleurs chose faite pour les 1 million d'OP déjà revendus.
Au-delà de la possibilité de revendre les 20 millions de tokens, l'attaquant pourrait également se servir massivement des tokens pour influer sur les votes de gouvernances de l'organisation autonome décentralisée (DAO). Un cas de figure qui ne s'est pas encore présenté, mais qui reste sous l'œil attentif des équipes d'Optimism.
Commander notre Livre pour tout comprendre aux cryptos
Publié aux Éditions Larousse
L'attaquant dispose encore d'une semaine pour retourner les fonds
Dans son communiqué, Wintermute évoque la possibilité que l'attaquant soit éventuellement un white hat et qu'il finisse par redonner les 19 millions de tokens encore stockés sur l'adresse initiale. Toutefois, selon eux, il ne s'agit pas là de la piste la plus probable, notamment car leur message envoyé au hacker est resté sans réponse.
L'équipe en charge du projet a ainsi transmis un message à destination de l'attaquant via son communiqué officiel, évoquant notamment des possibilités de collaboration :
« La façon dont l'attaque a été réalisée est plutôt impressionnante et nous pouvons même envisager des possibilités de consultation ou d'autres formes de coopération à l'avenir. »
Toutefois, il semblerait que ce soit quitte ou double pour l'attaquant, Wintermute ayant indiqué que le cas échéant, le nécessaire sera fait pour lui nuire :
« Vous avez une semaine pour envisager de devenir un white hat. Dans le cas où ce qui précède ne se produit pas, nous nous engageons à 100% à rendre tous les fonds, à traquer la ou les personnes responsables de l'exploit, à les doxxer [révéler leur identité publiquement] complètement et à les livrer au système juridique correspondant. Considérez vos options et choisissez d'être bon et optimiste au lieu de vivre dans la peur. »
D'ici là, Optimism a renvoyé 20 millions de nouveaux tokens OP à Wintermute, afin de ne pas compromettre les plans initiaux consistant à fournir des liquidités aux exchanges proposant le token OP.
? À lire également - L'USDT perd 88% de sa valeur sur le bridge EvoDeFi de la blockchain Oasis : a-t-on affaire à un rugpull ?
Sources : Communiqué de Wintermute, Communiqué d'Optimism
Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌
Rédacteur en chef de Cryptoast, je m'emploie à démocratiser le monde des cryptomonnaies et du Web3 pour tous.
Maximilien Prué
1202 articles
Si je comprend bien il y a eu une erreur dans la transmission de l’adresse, et ça parle d’un hack impressionnant ???