Optimism, Perusahaan di balik protokol penskalaan Ethereum hari ini mengumumkan bahwa dalam persiapan untuk meluncurkan token OP asli untuk Optimism Collective DAO, secara tidak sengaja mengirim 20 juta token ke alamat blockchain yang salah. Kesalahan tersebut mengakibatkan peretas mencuri seluruh 20 juta token OP tersebut.
DAO, atau organisasi otonom desentral, adalah kumpulan berbasis blockchain yang memberikan suara pada keputusan, seringkali melalui token asli. Optimism menciptakan OP sebagai token tata kelola untuk DAO-nya, dan menugaskan pembuat pasar Wintermute untuk mendistribusikan 20 juta token OP secara lebih efisien dalam sebuah airdrop ke pemangku kepentingan Optimism Collective untuk melanjutkan peluncurannya.
Optimism mengirim dua transaksi uji coba ke Wintermute sebelum mengirim lebih dari 20 juta token OP minggu lalu, dan kedua transaksi telah dikonfirmasi oleh Wintermute. Optimism kemudian mengirim token, hanya untuk Wintermute untuk mengetahui bahwa mereka sekarang tidak dapat diakses.
Optimism adalah solusi penskalaan lapisan-2 yang dibangun di atas jaringan Ethereum. Solusi lapisan kedua memungkinkan transaksi lebih cepat karena jaringan Ethereum sering macet. Tapi kenyamanan seperti itu ternyata juga membawa risiko yang lebih besar.
Dalam kasus transaksi Optimism, 20 juta token dikirim ke alamat Ethereum (L1) Wintermute, tetapi karena alamat tersebut belum disebarkan, atau disinkronkan, ke alamat Optimism (L2), dana dibiarkan mengambang, tidak dapat diakses, di L1.
Wintermute bertanggung jawab penuh atas kesalahan tersebut ketika ditemukan pada tanggal 30 Mei. Staf Wintermute juga mengatakan kepada Optimism Foundation bahwa dana tersebut berpotensi dapat diperoleh kembali melalui operasi satu kali yang berisiko tinggi. Mereka juga bersikeras bahwa dana tersebut, jika tidak dapat diakses, tetap aman: tidak ada pihak luar yang dapat mengaksesnya.
Dalam waktu 24 jam setelah Wintermute menyampaikan penemuan mereka ke Optimism, seorang peretas anonim menyita semua 20 juta token OP dari alamat Ethereum. Pada tanggal 1 Juni, tanggal peretasan, nilai rampasan bernilai lebih dari 35 juta dolar.
Peretas kemudian menjual satu juta token OP untuk ETH, dan menyimpan 19 juta lainnya. Mereka kemudian diam, dan tidak ada kabar lagi sejak saat itu.
Sebagai bagian dari penanggung jawab, Wintermute telah berkomitmen untuk membeli kembali semua token yang dijual oleh peretas. Wintermute telah membeli kembali satu juta token OP yang terjual minggu lalu.
Optimism mengatakan bahwa sejauh ini, token yang dicuri belum digunakan untuk mempengaruhi tata kelola DAO mereka, tapi mereka tetap memantau situasinya.
Optimism dan Wintermute telah melakukan beberapa upaya untuk menghubungi peretas, tapi tidak berhasil. Kedua perusahaan mengumumkan rincian serangan hari ini, sebagian dengan harapan menarik perhatian peretas. Dalam postingan blog sore ini, Wintermute langsung memohon kepada peretas misterius itu, memuji kecanggihan mereka dan menawarkan mereka pekerjaan potensial.
“Serangan itu dilakukan dengan cara yang cukup mengesankan dan kami bahkan dapat mempertimbangkan peluang konsultasi atau bentuk kerja sama lain di masa depan,” tulis Wintermute.
Namun, tawaran manis datang dengan pil pahit: jika 19 juta token OP yang tersisa tidak dikembalikan dalam waktu seminggu, perusahaan mengklaim akan menyerahkan bukti identitas peretas – yang sejauh ini dirahasiakan – kepada penegak hukum.
“Anda punya waktu satu minggu untuk mempertimbangkan menjadi whitehat,” Wintermute memperingatkan.
Bukti apa yang dimiliki perusahaan, dan insentif apa yang harus diungkapkan oleh peretas, tetap menjadi pertanyaan terbuka. Sementara itu, kesulitan ini tampaknya telah merusak reputasi Optimisme yang biasanya ceria dan berpikiran terbuka.
“Pertimbangkan pilihan Anda,” geram Wintermute dalam posting blognya kepada peretas, “dan pilihlah untuk menjadi baik dan optimis daripada hidup dalam ketakutan.”