7. června někdo zveřejnil a reddit závit který byl později smazán moderátorem fóra. Vlákno obsahovalo vážné tvrzení – síť Osmosis měla chybu, která umožňovala poskytovatelům likvidity vydělat dalších 50 % při přidávání a odebírání likvidity.
Osmóza (OSMO) je blockchain v ekosystému Cosmos, který nabízí decentralizovanou burzu a peněženku.
Tvrzení se zdálo nepravděpodobné, dokud nebyla síť zastavena kvůli nouzové údržbě.
Ahoj @osmosiszone přátelé. Od bloku #4713064 byl řetězec osmózy zastaven z důvodu nouzové údržby.
V tuto chvíli jsou Osmosis DEX a peněženka nefunkční, dokud nebudou dokončeny opravy.
?Prosím, čekejte, zatímco vývojáři pracují, aby nás dostali zpět.
— ??EmperorOsmo (Hathorské uzly)?? (@Flowslikeosmo) Června 8, 2022
Ačkoli tým Osmosis v té době nepřiznal zneužití, zastavení nastalo poté, co několik útočníků odčerpalo přibližně 5 milionů dolarů.
Bazény likvidity NEBYLY „zcela vypuštěny“.
Vývojáři chybu opravují, měří velikost ztrát (pravděpodobně v rozmezí ~5 milionů $) a pracují na obnově.
Více informací přijde. https://t.co/WOu7MMgSUM
— Osmóza? (@osmosiszone) Června 8, 2022
Tým Osmosis identifikoval chybu a vyvinul opravu, která se před nasazením testuje. Vývojáři stále pracují na restartu sítě.
Aktualizace: Chyba byla identifikována a byla napsána oprava.
Probíhá další testování, než se doporučuje validátorům koordinovat restart.
Úplné hlášení o chybě a akční plán pro důkladnější a řádnější testování upgradů řetězců, které budou následovat v následujících dnech. https://t.co/DjJMOEQxrT
— Osmóza? (@osmosiszone) Června 8, 2022
Takto se útočníkům podařilo zneužít síť, jak ukazuje aktivita v řetězci:
Uživatel Twitteru ve vláknu poukázal na to, že jeden z útočníků přidal likviditu ve formě USD Coin (USDC) a OSMO. Útočník pak na oplátku obdržel tokeny GAMM LP, které představovaly jeho podíl na fondu. Tito pachatelé okamžitě stáhli tokeny GAMM LP, čímž získali o 50 % více, než bylo množství USDC a OSMO, které byly přidány jako likvidita.
Za prvé, zřejmě to před chvílí volal subredditer – takže pro ně.
➼ Takže peněženka (osmo1hq) je vykořisťovatel.
Nejprve poskytuje Likviditu ve formě $ USDC (Ověřil jsem to ve zdrojovém kódu) + $ OSMO
Poté obdrží $ GAMM LP tokeny na oplátku. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Června 8, 2022
Pachatel následně vyměnil tokeny OSMO za ATOM a poslal je do jiných peněženek. Tento stejný proces se opakoval znovu a znovu — pokaždé, když útočník získal o 50 % více tokenů.
Většina výnosů z OSMO byla vyměněna za ATOM a převedena do peněženky, která obsahuje tokeny ATOM v hodnotě 9 milionů dolarů, uvedlo vlákno na Twitteru. Tato peněženka však nezahrnovala USDC tokeny, které útočník získal zneužitím chyby – USDC tokeny nebyly ani vyměněny, ani převedeny, dodalo vlákno.
Jakmile se pobavil,
➼ Odešle $ ATOM ven do řetězce dalších peněženek.
Těžko říct na https://t.co/o02L0T5QtQ skener, kolik to celkem bylo, ale sledoval jsem peněženky a… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Června 8, 2022
Osmóza identifikuje útočníky; Vychází FireStake
Čtyři útočníci byli identifikováni jako klíčoví pachatelé, kteří ukradli více než 95 % zneužitého množství, podle vlákna na Twitteru společnosti Osmosis. Dva ze čtyř útočníků se dobrovolně přihlásili, že vrátí kompletní ukradené prostředky. Další dvě provádějí transakce do az centralizovaných burz, které byly upozorněny, aby identifikovaly pachatele a získaly zpět finanční prostředky.
aktualizace:
– Byli identifikováni 4 jedinci, kteří tvoří více než 95 % realizovaného exploitu.
– 2 ze 4 jednotlivců proaktivně vyjádřili úmysl vrátit využitou částku v plné výši.
— Osmóza? (@osmosiszone) Června 8, 2022
Sotva hodinu po tweetu Osmosis týkajícího se útočníků se FireStake – validátor v ekosystému Cosmos – objevil v tweetu a přiznal se, že zneužil chybu LP, ale poznamenal, že se snaží „uvést věci do pořádku“ a spolupracovat s týmem Osmosis. vrátit použité prostředky.
Drahý @osmosiszone komunitě, mnoho z vás ví o chybě Osmosis LP, která se objevila včera.
V nevěře, že je to skutečné, dva členové @fire_stake začal testovat, zda chyba existuje, testování přerostlo v dočasný výpadek v dobrém úsudku a…
— FireStake | Validátor (@stake_fire) Června 8, 2022
v tomto procesu se nám podařilo převést 226 USD na ~2 miliony USD. Mysleli jsme na budoucnost naší rodiny a ne na budoucnost naší komunity.
Krátce poté, co jsme to udělali, jsme celou noc zdůrazňovali, jak můžeme věci uvést do pořádku. V současné době pracujeme s týmem Osmosis…
— FireStake | Validátor (@stake_fire) Června 8, 2022
vrátit finanční prostředky co nejdříve. Pracujeme také s týmem Osmosis, abychom povzbudili každého, kdo využil této situace, aby se přihlásil a vrátil peníze.
Jste vítáni, když k nám přijdete, a my vám můžeme pomoci jednat jako prostředník. Musíme to napravit.
— FireStake | Validátor (@stake_fire) Června 8, 2022
Zdroj: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/