Hechos clave:
-
El hacker vendió casi un 25% de lo robado y envió una parte a Vitalik Buterin.
-
Wintermute se adjudicó la responsabilidad del fallo y prometió recomprar los tokens.
Un hacker robó 20 millones de tokens Optimism (OP) sacando ventaja de un error humano previo al reparto de tokens de gobernanza para usuarios, proceso denominado airdrop. Al cierre de esta nota, el monto equivale a USD 17 millones.
La solución de escalabilidad para Ethereum Optimism realizó hace pocos días una distribución de tokens OP a sus usuarios. Para ello, contó con la asistencia de Wintermute, una plataforma de finanzas descentralizadas (DeFi) cuya función era brindar liquidez durante el proceso.
Sin embargo, el envío de fondos entre Optimism y Wintermute resultó en un error que un hacker pudo detectar y aprovechar hace 12 días. Ocurre que el depósito de 20 millones de OP por parte de Optimism se envió a una segunda capa (L2) en Ethereum, pero la dirección de Wintermute operaba en la red principal.
Esta segunda capa es precisamente Optimism. Se trata de un rollup que permite agrupar transacciones para abaratar costos a la hora de volcarlas en la red principal.
¿Por qué ocurrió este ataque? Según informó Optimism en un comunicado, Wintermute no estaba preparado (o se equivocó al mandar la dirección) para recibir los tokens en esa segunda capa. Como consecuencia, tuvo que idear un método para tener acceso a los tokens. No obstante, en vez de lograrlo, abrió una vulnerabilidad que fue aprovechada por el hacker.
Al momento de redacción de este artículo, la dirección actual del atacante posee cerca de 18 millones de OP, equivalentes a poco más de USD 15,3 millones, según la cotización actual del token (USD 0,85) de acuerdo con datos de CoinGecko. Así como hasta ahora vendió cerca de 1 millón de tokens OP, el hacker «fácilmente puede vender el resto», asegura Optimism en su publicación. Curiosamente, una parte de lo robado fue enviado a la dirección de Vitalik Buterin, cocreador de Ethereum.
El problema puede generar un impacto considerable en la amplia comunidad de Optimism. En el día del airdrop del token, se había generado una demanda tan alta que causó complicaciones en el proceso, como informó CriptoNoticias. Cabe destacar que los 20 millones de OP robados equivalen a casi el 10% del circulante total del token, hoy en 214.748.364 OP.
Un usuario cuestionó en Twitter el hecho de que la transferencia de fondos hacia la dirección del hacker se realizó hace 12 días (así se muestra en la imagen a continuación), pero ambas empresas decidieron hacer público el episodio apenas hoy. Varias personas se unieron a este reclamo, y seguramente Optimism deberá manifestarse al respecto para brindar más claridad al asunto.
Cómo planean recuperar los fondos robados
Para intentar subsanar este problema, Wintermute «se ha comprometido» a recomprar todos los tokens perdidos. Mediante un comunicado, el equipo de desarrolladores del AMM informó que van a comprar OP a medida que el atacante vaya vendiendo. Esto podría sumar volatilidad al valor del token, «pero haremos todo lo posible por suavizar el efecto», dicen.
Debido a que el hacker decidió no liquidar todos los fondos juntos, desde Wintermute afirman tener esperanza de que se trate de un whitehat exploit, es decir, un hackeo de una persona que devolverá los fondos y que obró con la intención de alertar sobre una vulnerabilidad. «En ese caso, los fondos son potencialmente recuperables», aseguran.
«Sin embargo, operamos bajo la premisa de que ese no es el caso, ya que no recibimos ninguna comunicación de los hackers y nuestro mensaje en la cadena no tuvo respuesta», añadieron. «El error fue 100% de Wintermute», admiten.
Finalmente, en un mensaje dirigido al atacante, Wintermute le da una semana para mostrar su buena voluntad, lo que hasta «podría abrir posibilidades de colaboración en el futuro», por lo inteligente que fue su intervención. De no recibir respuestas, los fondos serán rastreados y las autoridades intervendrán para hallar al responsable del robo, aseguran.
La Fundación Optimism, en tanto, realizó un segundo depósito temporal de 20 millones de OP a Wintermute para poder continuar con el proceso. Se aclara, sin embargo, que brindar liquidez no es una tarea que la Fundación deba cumplir y que no debe esperarse tal cosa a futuro.
Las lecciones de Optimism tras el episodio
Más allá de los intentos de Wintermute por remediar el problema, Optimism remarca que hay «lecciones fundamentales para llevarse a casa» tras lo ocurrido. «Este no es la primera vez que sucede un error de este tipo», aseguran, y subrayan además las dificultades de utilizar las distintas capas de redes como Ethereum, «incluso para usuarios y equipos experimentados».
Ante esto, Optimism rescató varias lecciones, como «no asumir que el control de una dirección entre la L1 y la L2 está garantizado», moverse con cuidado en «el bosque oscuro de Ethereum» porque «nunca sabes quién está vigilando la cadena», y, para desarrolladores, controlar el comportamiento de las aplicaciones multicadena.
Con respecto a la gobernanza del protocolo, Optimism aseguró que «hasta ahora no hubo ningún impacto» pero que están vigilando la dirección del atacante. Asimismo, la Fundación Optimism descartó la posibilidad de censurar la dirección con los tokens robados porque una medida de control centralizado como esta «representaría un antecedente significante».
¿Qué es Wintermute y por qué se asoció con Optimism?
Wintermute es un creador de mercado automático. Esto quiere decir que su función es proveer de liquidez a exchanges descentralizados (DEX) y protocolos de finanzas descentralizadas (DeFi) para que estos puedan mantener sus operaciones.
El propósito de la alianza de Optimism con esta empresa fue «facilitar la experiencia de los usuarios que adquieran OP para participar en la gobernanza de Collective». Con ese fin, se depositó el monto de 20 millones de tokens OP en Wintermute, que luego acabaron en las manos equivocadas.