Optimism bị “trộm mất” 20 triệu OP sau sự cố bảo mật Layer-1 và Layer-2

Ngay sau đợt airdrop đáng mong đợi, Optimism gặp trục trặc ngay chính giải pháp mở rộng quy mô Layer 2 mà dự án luôn tự hào.

Ngày vui ngắn chẳng tày gang, chưa đầy hai tuần sau đợt airdrop, Optimism đã bị kẻ gian lợi dụng lỗ hổng bảo mật trong hợp đồng thông minh và "cuỗm mất" 20 triệu token OP.

Sự cố trên diễn ra vào ngày 26/5 nhưng đến nay, đội ngũ dự án mới thông báo cho cộng động. Một triệu token trị giá khoảng 1,3 triệu USD đã được bán vào ngày 5/6. Không chỉ vậy, một triệu token khác trị giá khoảng 730.000 USD cũng đã được chuyển đến địa chỉ Ethereum của Vitalik Buterin trên Optimism lúc 12:26 sáng UTC ngày 9/6 hôm nay. Kẻ gian chưa có động thái nào đối với số token còn lại nhưng chúng có thể bị bán đi bất cứ lúc nào hoặc được sử dụng để bầu cử, thay đổi các quyết định quản trị.

OP là token gốc của Optimism Layer-2 (L2), có nhiệm vụ giúp giảm bớt tình trạng nghẽn mạng trên layer-1 của blockchain như Ethereum, và một phần nguồn cung đã được airdrop cho người dùng mạng vào ngày 1/6.

Đội ngũ của dự án Optimism cũng trình bày ngắn gọn phương hướng sử dụng 20 triệu token OP. Vốn dĩ, số token trên sẽ được "trao tay" công ty tạo lập thị trường tiền điện tử – Wintermute. Sau khi gửi thử hai lần giao dịch, đội ngũ đã gửi toàn bộ số token đó.

Tuy nhiên, Wintermute phát hiện ra rằng họ không thể truy cập token vì hợp đồng thông minh liên đới với 20 triệu token đó vẫn ở trên Layer-1 (L1) và chưa được cập nhật để triển khai trên Optimism. Kẻ gian đã lội dụng sự sai sót này và chiếm quyền kiểm soát hợp đồng trên chính L2.

Ngay sau khi Wintermute nhận thức được vấn đề, công ty đã “bắt đầu hoạt động khôi phục với mục tiêu triển khai hợp đồng đa chữ ký L1 đến cùng một địa chỉ trên L2”, nhưng đã quá muộn.

“Kẻ tấn công đã triển khai ví đa chữ lý sang L2 với các thông số khởi tạo khác nhau trước khi quá trình khôi phục hoàn tất và chiếm quyền kiểm soát 20 triệu token OP”. 

Để thực hiện giao dịch trên một hợp đồng đa chữ ký, những chủ sở hữu phải cùng đồng lòng đồng ý thông qua.

Trong một thông báo gửi cộng đồng Optimism ngày 9/6, Wintermute đã nhận toàn bộ trách nhiệm và tuyên bố rằng sẽ "nỗ lực" mua lại OP bằng với số tiền mà kẻ gian đã bán ra nhằm "làm dịu các tác động" của sự biến động giá.

Wintermute cũng đã ta thông báo, chấp nhận bỏ qua vụ việc nếu hacker đồng ý trả lại 19 triệu token trong vòng một tuần. Đề nghị này được đưa ra trước khi tin tặc chuyển một triệu token khác.

Đa số người dùng đều vỗ tay hoan nghênh quyết định của Wintermute vì đã có câu trả lời minh bạch và tự mình đứng ra nhận trách nhiệm.

Trước mắt, đội ngũ của Optimism đã cấp cho Wintermute thêm 20 triệu OP nhằm tài trợ “để họ có thể tiếp tục công việc của mình”. Nhưng dự án cũng nhấn mạnh, đây chỉ là phương án tạm thời.

“Cộng đồng không nên trông đợi hoặc dựa vào Optimism Foundation để hỗ trợ các nỗ lực cung cấp thanh khoản trong tương lai". 

Người dẫn chương trình podcast "Proof of Decentralization" – Chris Blec, cho biết đội ngũ đã xem xét (nhưng từ chối) giành lại quyền kiểm soát số tiền bị đánh cắp bằng cách nâng cấp mạng. Như vậy, theo quan điểm của Chris, Optimism (giống như hầu hết các dự án DeFi có khóa quản trị) là một dự án cực kỳ nguy hiểm.

Blec cũng cho rằng có lẽ người thuộc nội bộ Wintermute đã tự thực hiện vụ tấn công. Anh đặt nghi vấn, "Tại sao mọi người trong thị trường này luôn phản đối việc xem xét những khả năng rõ ràng nhất?" Tuy nhiên, ta vẫn chưa có bằng chứng rõ rằng để kết luận nhận định trên.

Theo CoinGecko, sau khi nhận được tin, các nhà đầu tư OP đã có những động thái tiêu cực, khiến giá token giảm 31,2%, mức giao dịch chạm mốc 0,76 USD trong 24 giờ qua.