-
El hacker vendiรณ casi un 25% de lo robado y enviรณ una parte a Vitalik Buterin.
-
Wintermute se adjudicรณ la responsabilidad del fallo y prometiรณ recomprar los tokens.
Un hacker robรณ 20 millones de tokens Optimism (OP) sacando ventaja de un error humano previo al reparto de tokens de gobernanza para usuarios, proceso denominado airdrop. Al cierre de esta nota, el monto equivale a USD 17 millones.
La soluciรณn de escalabilidad para Ethereum Optimism realizรณ hace pocos dรญas una distribuciรณn de tokens OP a sus usuarios. Para ello, contรณ con la asistencia de Wintermute, una plataforma de finanzas descentralizadas (DeFi) cuya funciรณn era brindar liquidez durante el proceso.
Sin embargo, el envรญo de fondos entre Optimism y Wintermute resultรณ en un error que un hacker pudo detectar y aprovechar hace 12 dรญas. Ocurre que el depรณsito de 20 millones de OP por parte de Optimism se enviรณ a una segunda capa (L2) en Ethereum, pero la direcciรณn de Wintermute operaba en la red principal.
Esta segunda capa es precisamente Optimism. Se trata de un rollup que permite agrupar transacciones para abaratar costos a la hora de volcarlas en la red principal.
ยฟPor quรฉ ocurriรณ este ataque? Segรบn informรณ Optimism en un comunicado, Wintermute no estaba preparado (o se equivocรณ al mandar la direcciรณn) para recibir los tokens en esa segunda capa. Como consecuencia, tuvo que idear un mรฉtodo para tener acceso a los tokens. No obstante, en vez de lograrlo, abriรณ una vulnerabilidad que fue aprovechada por el hacker.
Al momento de redacciรณn de este artรญculo, la direcciรณn actual del atacante posee cerca de 18 millones de OP, equivalentes a poco mรกs de USD 15,3 millones, segรบn la cotizaciรณn actual del token (USD 0,85) de acuerdo con datos de CoinGecko. Asรญ como hasta ahora vendiรณ cerca de 1 millรณn de tokens OP, el hacker ยซfรกcilmente puede vender el restoยป, asegura Optimism en su publicaciรณn. Curiosamente, una parte de lo robado fue enviado a la direcciรณn de Vitalik Buterin, cocreador de Ethereum.
El problema puede generar un impacto considerable en la amplia comunidad de Optimism. En el dรญa del airdrop del token, se habรญa generado una demanda tan alta que causรณ complicaciones en el proceso, como informรณ CriptoNoticias. Cabe destacar que los 20 millones de OP robados equivalen a casi el 10% del circulante total del token, hoy en 214.748.364 OP.
Un usuario cuestionรณ en Twitter el hecho de que la transferencia de fondos hacia la direcciรณn del hacker se realizรณ hace 12 dรญas (asรญ se muestra en la imagen a continuaciรณn), pero ambas empresas decidieron hacer pรบblico el episodio apenas hoy. Varias personas se unieron a este reclamo, y seguramente Optimism deberรก manifestarse al respecto para brindar mรกs claridad al asunto.
Cรณmo planean recuperar los fondos robados
Para intentar subsanar este problema, Wintermute ยซse ha comprometidoยป a recomprar todos los tokens perdidos. Mediante un comunicado, el equipo de desarrolladores del AMM informรณ que van a comprar OP a medida que el atacante vaya vendiendo. Esto podrรญa sumar volatilidad al valor del token, ยซpero haremos todo lo posible por suavizar el efectoยป, dicen.
Debido a que el hacker decidiรณ no liquidar todos los fondos juntos, desde Wintermute afirman tener esperanza de que se trate de un whitehat exploit, es decir, un hackeo de una persona que devolverรก los fondos y que obrรณ con la intenciรณn de alertar sobre una vulnerabilidad. ยซEn ese caso, los fondos son potencialmente recuperablesยป, aseguran.
ยซSin embargo, operamos bajo la premisa de que ese no es el caso, ya que no recibimos ninguna comunicaciรณn de los hackers y nuestro mensaje en la cadena no tuvo respuestaยป, aรฑadieron. ยซEl error fue 100% de Wintermuteยป, admiten.
Finalmente, en un mensaje dirigido al atacante, Wintermute le da una semana para mostrar su buena voluntad, lo que hasta ยซpodrรญa abrir posibilidades de colaboraciรณn en el futuroยป, por lo inteligente que fue su intervenciรณn. De no recibir respuestas, los fondos serรกn rastreados y las autoridades intervendrรกn para hallar al responsable del robo, aseguran.
La Fundaciรณn Optimism, en tanto, realizรณ un segundo depรณsito temporal de 20 millones de OP a Wintermute para poder continuar con el proceso. Se aclara, sin embargo, que brindar liquidez no es una tarea que la Fundaciรณn deba cumplir y que no debe esperarse tal cosa a futuro.
Las lecciones de Optimism tras el episodio
Mรกs allรก de los intentos de Wintermute por remediar el problema, Optimism remarca que hay ยซlecciones fundamentales para llevarse a casaยป tras lo ocurrido. ยซEste no es la primera vez que sucede un error de este tipoยป, aseguran, y subrayan ademรกs las dificultades de utilizar las distintas capas de redes como Ethereum, ยซincluso para usuarios y equipos experimentadosยป.
Ante esto, Optimism rescatรณ varias lecciones, como ยซno asumir que el control de una direcciรณn entre la L1 y la L2 estรก garantizadoยป, moverse con cuidado en ยซel bosque oscuro de Ethereumยป porque ยซnunca sabes quiรฉn estรก vigilando la cadenaยป, y, para desarrolladores, controlar el comportamiento de las aplicaciones multicadena.
Con respecto a la gobernanza del protocolo, Optimism asegurรณ que ยซhasta ahora no hubo ningรบn impactoยป pero que estรกn vigilando la direcciรณn del atacante. Asimismo, la Fundaciรณn Optimism descartรณ la posibilidad de censurar la direcciรณn con los tokens robados porque una medida de control centralizado como esta ยซrepresentarรญa un antecedente significanteยป.
ยฟQuรฉ es Wintermute y por quรฉ se asociรณ con Optimism?
Wintermute es un creador de mercado automรกtico. Esto quiere decir que su funciรณn es proveer de liquidez a exchanges descentralizados (DEX) y protocolos de finanzas descentralizadas (DeFi) para que estos puedan mantener sus operaciones.
El propรณsito de la alianza de Optimism con esta empresa fue ยซfacilitar la experiencia de los usuarios que adquieran OP para participar en la gobernanza de Collectiveยป. Con ese fin, se depositรณ el monto de 20 millones de tokens OP en Wintermute, que luego acabaron en las manos equivocadas.
