Június 7-én valaki közzétette a Reddit menet amit később a fórum moderátora törölt. A szál komoly állítást tartalmazott – az Osmosis hálózatnak volt egy olyan hibája, amely lehetővé tette a likviditásszolgáltatók számára, hogy 50%-os plusz bevételt szerezzenek a likviditás hozzáadásakor és visszavonásakor.
ozmózis (OSMO) egy blokklánc a Cosmos ökoszisztémában, amely decentralizált cserét és pénztárcát kínál.
Az állítás valószínűtlennek tűnt mindaddig, amíg a hálózatot sürgősségi karbantartás miatt le nem állították.
Helló @osmosiszone barátok. A #4713064 blokktól az ozmózisláncot leállították sürgősségi karbantartás miatt.
Jelenleg az Osmosis DEX és a Wallet a javítások befejezéséig nem használhatók.
?Kérjük, álljon készen, amíg a fejlesztők azon dolgoznak, hogy visszaszerezzenek minket.
— ??EmperorOsmo(Hathor Nodes)?? (@Flowslikeosmo) Június 8, 2022
Bár az Osmosis csapata akkoriban nem ismerte el a kizsákmányolást, a megtorpanás azután következett be, hogy néhány támadó körülbelül 5 millió dollárt elszívott.
A likviditási medencéket NEM ürítették ki teljesen.
A fejlesztők kijavítják a hibát, meghatározzák a veszteségek mértékét (valószínűleg körülbelül 5 millió dollár), és dolgoznak a helyreállításon.
További információ. https://t.co/WOu7MMgSUM
— Ozmózis? (@osmosiszone) Június 8, 2022
Az Osmosis csapata azonosította a hibát, és kifejlesztett egy javítást, amelyet a telepítés előtt tesztelnek. A fejlesztők még dolgoznak a hálózat újraindításán.
Frissítés: A hibát azonosították, és javítást írtak.
További tesztelések vannak folyamatban, mielőtt az érvényesítőknek javasolnák az újraindítás koordinálását.
Teljes hibajelentés és cselekvési terv a láncfrissítések alaposabb és megfelelő teszteléséhez a következő napokban. https://t.co/DjJMOEQxrT
— Ozmózis? (@osmosiszone) Június 8, 2022
Tehát a támadóknak így sikerült kihasználniuk a hálózatot, amint azt a láncon belüli tevékenység is mutatja:
Egy Twitter-felhasználó egy szálban rámutatott, hogy az egyik támadó USD Coin formájában likviditást adott (USDC) és az OSMO. A támadó ezután GAMM LP tokeneket kapott cserébe, amelyek a készletben való részesedésüket képviselték. Ezek az elkövetők azonnal visszavonták a GAMM LP tokeneket, így 50%-kal többletet kaptak, mint a likviditásként hozzáadott USDC és OSMO összege.
Először is, láthatóan egy subredditer felhívta ezt egy ideje – szóval kellékek nekik.
➼ Tehát a pénztárca (osmo1hq) a kizsákmányoló.
Először Likviditást biztosít formában $ USDC (Ezt a forráskódban ellenőriztem) + $ OSMO
Aztán megkapja $GAMM LP tokenek cserébe. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Június 8, 2022
Az elkövető ezután az OSMO tokeneket ATOM-ra cserélte, és más pénztárcákba küldte. Ugyanez a folyamat újra és újra megismétlődött – minden alkalommal, amikor a támadó 50%-kal több jelzőt szerzett.
Az OSMO bevételének nagy részét ATOM-ra cserélték, és egy pénztárcába utalták át, amely 9 millió dollár értékű ATOM tokeneket tartalmazott, írja a Twitter-szál. Ez a pénztárca azonban nem tartalmazta azokat az USDC tokeneket, amelyeket a támadó a hiba kihasználásával szerzett – az USDC tokeneket nem cserélték ki és nem is vitték át – tette hozzá a szál.
Ha egyszer jól szórakozott,
➼ Elküldi a $ ATOM ki más pénztárcák láncolatára.
Nehéz megmondani a https://t.co/o02L0T5QtQ szkenner mennyi volt összesen, de követtem a pénztárcákat és… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Június 8, 2022
Az ozmózis azonosítja a támadókat; FireStake jön elő
Az Osmosis Twitter-szála szerint négy támadót azonosítottak a fő elkövetőként, akik a kiaknázott mennyiség több mint 95%-át ellopták. A négy támadó közül kettő önként jelentkezett, hogy visszaadja a teljes ellopott pénzt. A másik kettő központosított tőzsdékre irányuló és onnan induló tranzakciókat bonyolít le, amelyeket figyelmeztettek az elkövetők azonosítása és a pénzeszközök visszaszerzése érdekében.
Frissítés:
– 4 személyt azonosítottak, akik a megvalósult kitermelési mennyiség 95%-át teszik ki.
– A 2 személyből 4 proaktívan kifejezte szándékát a kiaknázott mennyiség teljes visszaszolgáltatására.
— Ozmózis? (@osmosiszone) Június 8, 2022
Alig egy órával az Osmosis támadókkal kapcsolatos tweetje után a FireStake – a Cosmos ökoszisztéma érvényesítője – egy tweetben jelentkezett, és elismerte, hogy kihasználta az LP-hibát, de megjegyezte, hogy megpróbálják „helyreállítani” és együttműködni az Osmosis csapatával. visszaadni a kiaknázott pénzeszközöket.
Kedves @osmosiszone közösség, sokan tudtok az Osmosis LP hibáról, amely tegnap történt.
Két tagja nem hitte el, hogy valódi @fire_stake elkezdték tesztelni, hogy megtudják, létezik-e a hiba, a tesztelés jó belátás szerint átmeneti kimaradássá nőtte ki magát, és…
— FireStake | Validator (@stake_fire) Június 8, 2022
a folyamat során 226 USD-t sikerült ~2M USD-re konvertálni. A családunk jövőjére gondoltunk, nem a közösségünk jövőjére.
Röviddel azután, hogy ezt megtettük, egész éjszaka azon hangsúlyoztuk, hogyan állíthatnánk helyre a dolgokat. Jelenleg az Osmosis csapatával dolgozunk…
— FireStake | Validator (@stake_fire) Június 8, 2022
hogy a lehető leghamarabb visszajuttassa az alapokat. Az Osmosis csapatával azon is dolgozunk, hogy mindenki mást is bátorítson, aki kihasználta ezt a helyzetet, hogy jelentkezzen és térítse vissza az összeget.
Szívesen jöjjön hozzánk, és mi segítünk összekötőként működni. Ezt jóvá kell tennünk.
— FireStake | Validator (@stake_fire) Június 8, 2022
Forrás: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/