O caso do roubo de 20 milhões de tokens Optimism (OP) está chegando ao fim. De acordo com uma transação no Etherscan, o hacker se comprometeu a devolver os fundos roubados no ataque.
Na mensagem, o hacker afirma que vai devolver 18 milhões dos 20 milhões de tokens OP roubados. Isso porque o hacker enviou dois milhões de OP para uma carteira pertencente a Vitalik Buterin. A primeira transação ocorreu na quinta-feira (9), enquanto a segunda foi enviada nesta sexta-feira (10).
Quando realizou a segunda transação, o hacker deixou duas mensagens ocultas, uma para Buterin e outra para a Optimism:
“Olá, Vitalik, eu acredito em você, só quero saber sua opinião sobre isso. Aliás, ajude a verificar o endereço de retorno e eu devolverei o restante depois de você. E olá Wintermute, desculpe, eu só tenho 18 milhões e é isso que posso voltar. Fiquem otimistas!”, disse o hacker.
Ao que tudo indica, Buterin se comprometeu a devolver os tokens que o hacker enviou para sua carteira. Por isso o hacker afirmou que também devolverá a sua parte.
Optimism pode recuperar tokens
Com isso, crescem as suspeitas de que o hacker em questão seja um whitehat, ou seja, alguém que descobre vulnerabilidades em sistemas. No caso da Optimism, no entanto, a principal falha foi cometida por seres humanos.
Na quarta-feira (8), a solução de segunda camada do Ethereum deveria enviar 20 milhões de tokens para os endereços do formador de liquidez Wintermute. Mas a equipe do Wintermute forneceu o endereço errado.
Em vez de mandar um endereço de carteira da Optimism, o Wintermute deu um endereço da Ethereum. Como resultado, os 20 milhões de tokens OP ficaram virtualmente inacessíveis.
O Wintermute ainda tentou resolver o problema e recuperar os fundos, mas o hacker foi mais rápido. Ele aproveitou a falha e conseguiu acessar os tokens, retirando-os para sua carteira.
Além de enviar os fundos para Vitalik, o hacker também lhe deu os direitos de voto na rede da Optimism. O pesquisador de segurança da Ethereum Foundation, Yoav Weiss, recebeu os mesmos direitos.
Devolução dos fundos
A empresa assumiu a responsabilidade por seu erro, mas destacou que o hacker não vendeu os fundos imediatamente. Com isso, o Wintermute pediu que o atacante devolvesse os fundos, na esperança de recuperá-los.
Parece que isso teve um efeito. Logo após o pedido, o hacker enviou a primeira transação com um milhão de OP para uma carteira pertencente a Vitalik Buterin.
Apenas 24 horas depois, o hacker enviou outra transação, desta vez com a mensagem especial para o co-fundador da Ethereum. Ele não explicou quando pretende devolver os fundos retirados.