7. júna niekto zverejnil a reddit závit ktorý bol neskôr zmazaný moderátorom fóra. Vlákno obsahovalo vážne tvrdenie – sieť Osmosis mala chybu, ktorá umožňovala poskytovateľom likvidity zarobiť ďalších 50 % pri pridávaní a odoberaní likvidity.
osmóza (OSEM) je blockchain v ekosystéme Cosmos, ktorý ponúka decentralizovanú burzu a peňaženku.
Tvrdenie sa zdalo nepravdepodobné, kým sa sieť nezastavila z dôvodu núdzovej údržby.
Ahoj @osmosiszone priatelia. Od bloku #4713064 bol reťazec osmózy zastavený z dôvodu núdzovej údržby.
V súčasnosti sú Osmosis DEX a Peňaženka nefunkčné, kým sa nedokončia opravy.
?Prosím, čakajte, kým vývojári pracujú, aby nás dostali späť.
— ??EmperorOsmo (Hathor Uzly)?? (@Flowslikeosmo) Júna 8, 2022
Hoci tím Osmosis v tom čase nepriznal zneužitie, k zastaveniu došlo po tom, čo niekoľko útočníkov odčerpalo približne 5 miliónov dolárov.
Bazény likvidity NEBOLI „úplne vypustené“.
Vývojári opravujú chybu, určujú rozsah strát (pravdepodobne v rozsahu ~ 5 miliónov USD) a pracujú na obnove.
Viac informácií príde. https://t.co/WOu7MMgSUM
- Osmóza? (@osmosiszone) Júna 8, 2022
Tím Osmosis identifikoval chybu a vyvinul opravu, ktorá sa testuje pred nasadením. Vývojári stále pracujú na reštarte siete.
Aktualizácia: Chyba bola identifikovaná a napísaná oprava.
Prebieha ďalšie testovanie predtým, ako sa odporúča validátorom koordinovať reštart.
Úplné hlásenie o chybe a akčný plán pre dôkladnejšie a správne testovanie aktualizácií reťazca, ktoré budú nasledovať v najbližších dňoch. https://t.co/DjJMOEQxrT
- Osmóza? (@osmosiszone) Júna 8, 2022
Takto sa útočníkom podarilo zneužiť sieť, ako ukazuje aktivita v reťazci:
Používateľ Twitteru vo vlákne poukázal na to, že jeden z útočníkov pridal likviditu vo forme USD Coin (USDC) a OSMO. Útočník potom na oplátku dostal tokeny GAMM LP, ktoré predstavovali jeho podiel na poole. Títo páchatelia okamžite stiahli tokeny GAMM LP, čím získali o 50 % viac ako množstvo USDC a OSMO, ktoré boli pridané ako likvidita.
Po prvé, zrejme to pred chvíľou zavolal subredditer – teda rekvizity pre nich.
➼ Peňaženka (osmo1hq) je teda vykorisťovateľ.
Najprv poskytuje Likviditu vo forme $ USDC (overil som si to v zdrojovom kóde) + $ OSMO
Potom dostane $ GAMM LP tokeny na oplátku. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Júna 8, 2022
Páchateľ následne vymenil žetóny OSMO za ATOM a poslal ich do iných peňaženiek. Tento istý proces sa opakoval znova a znova – zakaždým, keď útočník získal o 50 % viac tokenov.
Väčšina výnosov z OSMO bola vymenená za ATOM a prevedená do peňaženky, ktorá obsahuje tokeny ATOM v hodnote 9 miliónov dolárov, uviedlo vlákno na Twitteri. Táto peňaženka však neobsahovala tokeny USDC, ktoré útočník získal zneužitím chyby – tokeny USDC neboli vymenené ani prenesené, dodalo vlákno.
Keď sa raz zabavil,
➼ Posiela $ ATOM do reťazca iných peňaženiek.
Ťažko povedať na https://t.co/o02L0T5QtQ skener, koľko to celkovo bolo, ale sledoval som peňaženky a... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Júna 8, 2022
Osmóza identifikuje útočníkov; FireStake prichádza
Štyria útočníci boli identifikovaní ako kľúčoví páchatelia, ktorí ukradli viac ako 95% zneužitej sumy, podľa vlákna na Twitteri spoločnosti Osmosis. Dvaja zo štyroch útočníkov sa dobrovoľne prihlásili, že vrátia celé ukradnuté prostriedky. Ďalšie dve vykonávajú transakcie do az centralizovaných búrz, ktoré boli upozornené, aby identifikovali páchateľov a získali prostriedky.
Update:
– Boli identifikovaní 4 jednotlivci, ktorí predstavujú viac ako 95 % realizovanej sumy exploitu.
– 2 zo 4 jednotlivcov proaktívne vyjadrili úmysel vrátiť vyčerpanú sumu v plnej výške.
- Osmóza? (@osmosiszone) Júna 8, 2022
Sotva hodinu po Osmosisovom Tweete týkajúcom sa útočníkov sa FireStake – overovateľ v ekosystéme Cosmos – ozval v Tweete a priznal sa, že využil chybu LP, ale poznamenal, že sa snažia „uviesť veci do poriadku“ a spolupracovať s tímom Osmosis. vrátiť použité prostriedky.
Drahý @osmosiszone komunite, mnohí z vás vedia o chybe Osmosis LP, ktorá sa vyskytla včera.
V nevere, že je to skutočné, dvaja členovia @fire_stake začali testovať, či chyba existuje, testovanie prerástlo do dočasného výpadku v dobrom úsudku a...
— FireStake | Validátor (@stake_fire) Júna 8, 2022
v tomto procese sa nám podarilo previesť 226 USD na ~2 milióny USD. Mysleli sme na budúcnosť našej rodiny a nie na budúcnosť našej komunity.
Krátko po tom sme celú noc zdôrazňovali, ako môžeme veci uviesť do poriadku. Momentálne pracujeme s tímom Osmosis...
— FireStake | Validátor (@stake_fire) Júna 8, 2022
aby finančné prostriedky čo najskôr vrátili. Pracujeme tiež s tímom Osmosis, aby sme povzbudili každého, kto využil túto situáciu, aby sa prihlásil a vrátil peniaze.
Môžete k nám prísť a my vám môžeme pomôcť pôsobiť ako sprostredkovateľ. Musíme to napraviť.
— FireStake | Validátor (@stake_fire) Júna 8, 2022
Zdroj: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/