La lune de miel pour la solution de mise à l’échelle en couche 2 Optimism a été écourtée, car une faille dans le contrat intelligent de son teneur de marché a entraîné la perte de 20 millions de tokens OP.

L’attaque a eu lieu le 26 mai, mais vient seulement d’être signalée à la communauté. Un million de tokens d’une valeur d’environ 1,3 million de dollars ont été vendus dimanche. Un million de tokens supplémentaires, d’une valeur d’environ 730 000 dollars, ont été transférés à l’adresse Ethereum de Vitalik Buterin sur Optimism plus tôt dans la journée à 12 h 26 UTC. Les tokens restants sont inactifs pour l’instant, mais pourraient être vendus à tout moment ou utilisés pour influencer les décisions de gouvernance.

Hé tout le monde—dans l’intérêt de la transparence, nous aimerions partager quelques détails sur une situation en cours : https://t.co/915vIgRIJG. Résumé ci-dessous — Optimism (✨_✨) (@optimismePBC) 8 juin 2022.

OP est le token natif de la blockchain Optimism layer 2 (L2), et une partie de l’offre a été distribuée aux utilisateurs du réseau le 1er juin. Les solutions L2 permettent d’atténuer la congestion d’une blockchain de couche 1 (L1) telle qu’Ethereum.

Un résumé des événements par l’équipe d’Optimism jeudi a détaillé comment les 20 millions de tokens OP étaient destinés à être utilisés par la société de cryptomonnaie Wintermute. Après avoir envoyé deux transactions de test, l’équipe d’Optimism a envoyé le montant total des tokens.

Cependant, la société Wintermute a découvert qu’elle ne pouvait pas accéder aux tokens, car le contrat intelligent qu’elle utilisait pour accepter les tokens était toujours sur la L1 et n’avait pas été mis à jour pour être déployé sur Optimism. Cet oubli technique a créé une vulnérabilité dans le contrat et un hacker a pris le contrôle du contrat sur la L2.

Dès que Wintermute a pris conscience du problème, elle a « commencé une opération de récupération dans le but de déployer le contrat multisig L1 à la même adresse sur la L2 », mais sa tentative de remédier à la situation a pris trop de temps.

« Un hacker a pu déployer le multisig vers la L2 avec différents paramètres d’initialisation avant que l’opération de récupération ne soit terminée et a pris le contrôle des 20 millions de tokens OP. »

Un contrat multisig nécessite l’approbation de plusieurs détenteurs de clés pour exécuter une transaction.

Dans un message adressé jeudi à la communauté Optimism, Wintermute a assumé l’entière responsabilité de l’attaque. L’entreprise a déclaré qu’elle effectuerait des rachats d’OP à hauteur du montant vendu par le hacker afin de faire « tous les efforts possibles pour lisser les effets » de la volatilité des prix.

Wintermute a également proposé d’accepter l’incident comme une attaque « white hat » si le pirate acceptait de rendre 19 millions de tokens dans un délai d’une semaine. Cette offre a été faite avant que le hacker ne transfère un autre million de tokens.

Les réponses au message de Wintermute ont surtout applaudi l’entreprise pour sa transparence en révélant le problème et pour avoir accepté la responsabilité de ce qui s’est passé.

À lire également : Un pirate arrosé alors que la communauté récupère les NFT volés

À court terme, l’équipe Optimisme a accordé à Wintermute une subvention supplémentaire de 20 millions d’OP « afin qu’ils puissent poursuivre leur travail au fur et à mesure que les choses évoluent ». Mais l’équipe a également souligné que ces efforts de tenue de marché sont temporaires.

« La communauté ne doit pas s’attendre ou compter sur la Fondation Optimisme pour soutenir les efforts d’approvisionnement en liquidités à l’avenir. »

Des tokens $OP ont été détournés. Optimism se demande s’il doit utiliser son multisig pour reprendre les tokens au voleur. Dans ce tweet, ils disent « nous pourrions le faire… mais alors vous nous détesteriez tous… donc nous ne le ferons pas… pour le moment. » DANGEREUSEMENT CENTRALISÉ. https://t.co/p7JiPY2TzU—Chris Blec (@ChrisBlec) 8 juin 2022

Chris Blec, hôte du podcast Proof of Decentralization, a déclaré que l’équipe avait envisagé (mais rejeté) l’idée de reprendre le contrôle des fonds volés en effectuant une mise à niveau du réseau. Cela signifie que, selon lui, Optimism (comme la plupart des projets financiers décentralisés avec des clés d’administration) est « DANGEREUSEMENT CENTRALISÉ ».

Blec a également suggéré que l’explication la plus évidente en cas de faille implique les personnes les plus étroitement engagées dans le projet, ce qui signifie que quelqu’un travaillant avec Wintermute pourrait avoir réalisé l’attaque. Il a demandé : « Pourquoi tout le monde dans cet espace est toujours si opposé à l’examen des possibilités les plus évidentes ? » Il n’y a aucune preuve à ce stade pour soutenir cette théorie.

Les investisseurs d’OP ont réagi négativement à la mise à jour, car le prix du token est en baisse de 31,2 % à 0,76 $ depuis les dernières 24 heures, selon CoinGecko.