7. junija je nekdo objavil a Reddit nit ki ga je kasneje moderator foruma izbrisal. Nit je vsebovala resno trditev - omrežje Osmosis je imelo napako, ki je omogočala ponudnikom likvidnosti, da zaslužijo dodatnih 50 % pri dodajanju in umiku likvidnosti.
osmoza (OSEM) je blockchain v ekosistemu Cosmos, ki ponuja decentralizirano izmenjavo in denarnico.
Zahtevek se je zdel neverjeten, dokler omrežje ni bilo ustavljeno zaradi nujnega vzdrževanja.
Živijo @osmosiszone prijatelji. Od bloka #4713064 je bila veriga Osmosis ustavljena zaradi vzdrževanja v sili.
V tem trenutku sta Osmosis DEX in denarnica neuporabna, dokler popravila niso zaključena.
?Počakajte, medtem ko se razvijalci trudijo, da nas vrnejo nazaj.
— ??EmperorOsmo (vozlišča Hathor)?? (@Flowslikeosmo) Junij 8, 2022
Čeprav ekipa Osmosis takrat ni priznala izkoriščanja, je do zaustavitve prišlo po tem, ko je nekaj napadalcev izčrlo okoli 5 milijonov dolarjev.
Likvidnostni bazeni NISO »popolnoma izpraznjeni«.
Razvijalci popravljajo napako, določajo obseg izgub (verjetno v območju ~5 milijonov dolarjev) in delajo na obnovi.
Več informacij sledi. https://t.co/WOu7MMgSUM
— Osmoza? (@osmosiszone) Junij 8, 2022
Osmosis ekipa je identificirala napako in razvila popravek, ki se testira pred uvedbo. Razvijalci še vedno delajo na ponovnem zagonu omrežja.
Posodobitev: Ugotovljena je bila napaka in napisan popravek.
V teku je več testiranj, preden se validatorji priporočajo za usklajevanje ponovnega zagona.
Celotno poročilo o napakah in akcijski načrt za bolj temeljito in pravilno testiranje nadgradnje verige od konca do konca, ki bo sledilo v prihodnjih dneh. https://t.co/DjJMOEQxrT
— Osmoza? (@osmosiszone) Junij 8, 2022
Tako je napadalcem uspelo izkoristiti omrežje, kar kaže aktivnost v verigi:
Uporabnik Twitterja je v temi poudaril, da je eden od napadalcev dodal likvidnost v obliki USD Coin (USDC) in OSMO. Napadalec je nato v zameno prejel žetone GAMM LP, ki so predstavljali njihov delež v združenju. Ti storilci so takoj umaknili žetone GAMM LP in tako pridobili 50 % več od zneska USDC in OSMO, ki sta bila dodana kot likvidnost.
Prvič, očitno je subredditer to razglasil pred časom - tako da jim pomagam.
➼ Torej je denarnica (osmo1hq) izkoriščevalec.
Najprej zagotavlja Likvidnost v obliki $ USDC (To sem preveril v izvorni kodi) + $ OSMO
Nato prejme $GAMM LP žetoni v zameno. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Junij 8, 2022
Storilec je nato žetone OSMO zamenjal za ATOM in jih poslal v druge denarnice. Ta isti postopek se je ponavljal znova in znova – vsakič, ko je napadalec pridobil 50 % več žetonov.
Večina prihodkov v OSMO je bila zamenjana za ATOM in prenesena v denarnico, ki vsebuje žetone ATOM v vrednosti 9 milijonov dolarjev, je zapisano v niti na Twitterju. Vendar ta denarnica ni vključevala žetonov USDC, ki jih je napadalec pridobil z izkoriščanjem hrošča – žetoni USDC niso bili niti zamenjani niti preneseni, je dodala nit.
Ko se enkrat zabava,
➼ Pošlje $ ATOM v verigo drugih denarnic.
Težko je reči na https://t.co/o02L0T5QtQ skener, koliko je bilo skupaj, sem pa sledil denarnicam in ... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Junij 8, 2022
Osmoza identificira napadalce; FireStake se pojavi
Štirje napadalci so bili identificirani kot ključni storilci, ki so ukradli več kot 95 % izkoriščenega zneska, glede na twitterjevo temo Osmosis. Dva od štirih napadalcev sta se prostovoljno javila, da vrneta vsa ukradena sredstva. Druga dva imata transakcije na centralizirane menjalnice in iz njih, ki sta bili opozorjeni, da identificirajo storilce in izterjajo sredstva.
Posodobitev:
– Identificirani so 4 posamezniki, ki predstavljajo 95 %+ realizirane količine izkoriščanja.
– 2 od 4 posameznikov sta proaktivno izrazila namero, da bo v celoti vrnila izkoriščeni znesek.
— Osmoza? (@osmosiszone) Junij 8, 2022
Komaj uro po Osmosisovem Tweetu o napadalcih, se je FireStake – validator v ekosistemu Cosmos – oglasil v tvitu in priznal, da je izkoriščal napako LP, vendar je opozoril, da poskušajo "popraviti stvari" in sodelujejo z ekipo Osmosis. vrniti izkoriščena sredstva.
Dragi @osmosiszone skupnosti, mnogi od vas veste za napako Osmosis LP, ki se je zgodila včeraj.
V nejeverju, da je res, dva člana @fire_stake začel s testiranjem, da bi ugotovil, ali napaka obstaja, testiranje je v dobri presoji preraslo v začasen izpad in ...
— FireStake | Validator (@stake_fire) Junij 8, 2022
pri tem nam je uspelo pretvoriti 226 USD v ~2 milijona USD. Razmišljali smo o prihodnosti naše družine in ne o prihodnosti naše skupnosti.
Kmalu po tem smo vso noč poudarjali, kako lahko stvari uredimo. Trenutno sodelujemo z ekipo Osmosis…
— FireStake | Validator (@stake_fire) Junij 8, 2022
vrniti sredstva v najkrajšem možnem času. Prav tako sodelujemo z ekipo Osmosis, da bi spodbudili vse druge, ki so izkoristili to situacijo, da se oglasijo in vrnejo sredstva.
Vabljeni, da pridete k nam, mi pa lahko pomagamo delovati kot povezava. To moramo popraviti.
— FireStake | Validator (@stake_fire) Junij 8, 2022
Vir: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/