Pe 7 iunie, cineva a postat un fir Reddit care a fost șters ulterior de moderatorul forumului. Firul conținea o afirmație serioasă - rețeaua Osmosis avea o eroare care permitea furnizorilor de lichidități să câștige 50% în plus la adăugarea și retragerea lichidității.
osmoza (osmos) este un blockchain din ecosistemul Cosmos care oferă un schimb și un portofel descentralizat.
Afirmația părea improbabilă până când rețeaua a fost oprită pentru întreținere de urgență.
Hei @osmosiszone prieteni. Începând cu blocul #4713064, lanțul de osmoză a fost oprit pentru întreținere de urgență.
În acest moment, Osmosis DEX și Wallet sunt inoperabile, până la finalizarea reparațiilor.
?Vă rugăm să stați în așteptare în timp ce dezvoltatorii lucrează pentru a ne relua.
— ??EmperorOsmo(Noduri Hathor)?? (@Flowslikeosmo) 8 Iunie, 2022
Deși echipa Osmosis nu a recunoscut o exploatare în acel moment, oprirea a avut loc după ce câțiva atacatori au consumat aproximativ 5 milioane de dolari.
Fondurile de lichiditate NU au fost „complet drenate”.
Dezvoltatorii remediază eroarea, analizează dimensiunea pierderilor (probabil în intervalul de ~ 5 milioane USD) și lucrează la recuperare.
Mai multe informații pentru a veni. https://t.co/WOu7MMgSUM
— Osmoză? (@osmosiszone) 8 Iunie, 2022
Echipa Osmosis a identificat eroarea și a dezvoltat un patch care este testat înainte de implementare. Dezvoltatorii încă lucrează la repornirea rețelei.
Actualizare: bug-ul a fost identificat și un patch scris.
Mai multe teste sunt în curs înainte ca validatorii să li se recomande să coordoneze o repornire.
Raport complet de eroare și plan de acțiune pentru o testare mai amănunțită și corectă de la capăt la capăt al upgrade-urilor lanțului, care urmează să fie urmate în zilele următoare. https://t.co/DjJMOEQxrT
— Osmoză? (@osmosiszone) 8 Iunie, 2022
Deci, așa au reușit atacatorii să exploateze rețeaua, așa cum arată activitatea în lanț:
Un utilizator de Twitter a subliniat într-un thread că unul dintre atacatori a adăugat lichiditate sub formă de monede USD (USDC) și OSMO. Atacatorul a primit apoi jetoane GAMM LP în schimb, care reprezentau partea lor în pool. Acești autori au retras imediat jetoanele GAMM LP, câștigând astfel cu 50% în plus față de suma USDC și OSMO care fusese adăugată ca lichiditate.
În primul rând, se pare că un subredditor a spus asta cu ceva timp în urmă - așa că recuzită pentru ei.
➼ Deci portofelul (osmo1hq) este exploatatorul.
În primul rând el oferă lichiditate sub formă de $ USDC (Am verificat acest lucru în codul sursă) + $ OSMO
El primește apoi $GAMM Jetoane LP în schimb. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) 8 Iunie, 2022
Făptuitorul a schimbat apoi jetoanele OSMO cu ATOM și le-a trimis în alte portofele. Același proces a fost repetat din nou și din nou - de fiecare dată când atacatorul a câștigat cu 50% mai multe jetoane.
Majoritatea veniturilor din OSMO au fost schimbate cu ATOM și transferate într-un portofel care conține jetoane ATOM în valoare de 9 milioane de dolari, se arată în firul Twitter. Cu toate acestea, acest portofel nu a inclus jetoanele USDC pe care atacatorul le-a câștigat prin exploatarea erorii - jetoanele USDC nu au fost nici schimbate, nici transferate, a adăugat firul.
Odată ce s-a distrat,
➼ El trimite $ ATOM la un lanț de alte portofele.
Este greu de spus despre https://t.co/o02L0T5QtQ scaner cât a fost în total, dar am urmărit portofelele și... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) 8 Iunie, 2022
Osmoza identifică atacatorii; FireStake apare
Patru atacatori au fost identificați drept făptuitorii cheie care au furat peste 95% din suma exploatată, potrivit unui thread de Twitter al Osmosis. Doi din cei patru atacatori s-au oferit voluntar să returneze fondurile furate. Ceilalți doi au tranzacții către și dinspre burse centralizate, care au fost alertate pentru identificarea făptuitorilor și recuperarea fondurilor.
Actualizați:
– Au fost identificate 4 persoane care reprezintă peste 95% din cantitatea de exploatare realizată.
– 2 din cele 4 persoane și-au exprimat în mod proactiv intenția de a returna integral suma exploatată.
— Osmoză? (@osmosiszone) 8 Iunie, 2022
La doar o oră după Tweetul lui Osmosis cu privire la atacatori, FireStake – un validator în ecosistemul Cosmos – s-a prezentat într-un Tweet și a recunoscut că a exploatat bug-ul LP, dar a remarcat că încearcă să „regleze lucrurile” și că lucrează cu echipa Osmosis. să restituie fondurile exploatate.
Dragă @osmosiszone comunitate, mulți dintre voi știți despre eroarea Osmosis LP care a avut loc ieri.
Neîncrezător că este real, doi membri ai @fire_stake a început să testeze pentru a vedea dacă eroul a existat, testarea s-a transformat într-o perioadă temporară de judecată și...
— FireStake | Validator (@stake_fire) 8 Iunie, 2022
în acest proces, am reușit să convertim 226 USD în ~2 milioane USD. Ne gândim la viitorul familiei noastre și nu la viitorul comunității noastre.
La scurt timp după ce am făcut acest lucru, ne-am stresat pe tot parcursul nopții despre cum putem îndrepta lucrurile. În prezent lucrăm cu echipa Osmoză...
— FireStake | Validator (@stake_fire) 8 Iunie, 2022
să returneze fondurile cât mai curând posibil. De asemenea, lucrăm cu echipa Osmosis pentru a încuraja pe oricine altcineva care a profitat de această situație să se prezinte și să returneze fonduri.
Sunteți binevenit să veniți la noi și vă putem ajuta să acționăm ca o legătură. Trebuie să facem acest lucru corect.
— FireStake | Validator (@stake_fire) 8 Iunie, 2022
Sursa: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/