7. kesäkuuta joku lähetti a Reddit kierre jonka foorumin moderaattori myöhemmin poisti. Säie sisälsi vakavan väitteen - Osmosis-verkostossa oli virhe, jonka ansiosta likviditeetin tarjoajat saivat 50% ylimääräistä lisäystä ja poistaessaan likviditeettiä.
Osmoosi (OSMO) on Cosmos-ekosysteemin lohkoketju, joka tarjoaa hajautetun vaihdon ja lompakon.
Väite vaikutti epätodennäköiseltä, kunnes verkko pysäytettiin hätähuollon vuoksi.
Hei @osmosiszone ystävät. Lohkosta #4713064 osmoosiketju on pysäytetty hätähuoltoa varten.
Tällä hetkellä Osmosis DEX ja Wallet ovat käyttökelvottomia, kunnes korjaukset on suoritettu.
?Ole odottamassa, kun kehittäjät työskentelevät saadakseen meidät takaisin.
- ??Keisari Osmo (Hathor Nodes)?? (@Flowslikeosmo) Kesäkuu 8, 2022
Vaikka Osmosis-tiimi ei tunnustanut hyväksikäyttöä tuolloin, pysähtyminen tapahtui sen jälkeen, kun muutamat hyökkääjät olivat tyhjentäneet noin 5 miljoonaa dollaria.
Likviditeettipoolit EIVÄT olleet "täysin tyhjennettyjä".
Kehittäjät korjaavat virheen, määrittävät tappioiden suuruutta (todennäköisesti noin 5 miljoonan dollarin välillä) ja työskentelevät palautuksen eteen.
Lisää tietoa tulossa. https://t.co/WOu7MMgSUM
- Osmoosi? (@osmosiszone) Kesäkuu 8, 2022
Osmosis-tiimi on tunnistanut vian ja kehittänyt korjaustiedoston, jota testataan ennen käyttöönottoa. Kehittäjät työskentelevät edelleen verkon uudelleenkäynnistämiseksi.
Päivitys: Virhe on tunnistettu ja korjaustiedosto kirjoitettu.
Lisää testausta on meneillään ennen kuin validaattoreita suositellaan koordinoimaan uudelleenkäynnistystä.
Täydellinen virheraportti ja toimintasuunnitelma ketjupäivitysten perusteellisempaa ja asianmukaisempaa testausta varten lähipäivinä. https://t.co/DjJMOEQxrT
- Osmoosi? (@osmosiszone) Kesäkuu 8, 2022
Joten näin hyökkääjät onnistuivat hyödyntämään verkkoa, kuten ketjun toiminta osoittaa:
Twitter-käyttäjä huomautti viestiketjussa, että yksi hyökkääjistä lisäsi likviditeettiä USD Coinin muodossa (USDC) ja OSMO. Hyökkääjä sai sitten vastineeksi GAMM LP -tokeneita, jotka edustivat hänen osuuttaan poolista. Nämä tekijät poistivat välittömästi GAMM LP -tunnukset ja saivat siten 50 % enemmän kuin USDC ja OSMO, jotka oli lisätty likviditeettinä.
Ensinnäkin, ilmeisesti subredditer soitti tämän jokin aika sitten - joten rekvisiitta heille.
➼ Joten lompakko (osmo1hq) on hyväksikäyttäjä.
Ensin hän tarjoaa Likviditeettiä muodossa $ USDC (Vahvistin tämän lähdekoodissa) + $ OSMO
Sitten hän vastaanottaa $GAMM LP-rahakkeita vastineeksi. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Kesäkuu 8, 2022
Tekijä vaihtoi sitten OSMO-rahakkeet ATOM:iin ja lähetti ne muihin lompakoihin. Tämä sama prosessi toistettiin uudestaan ja uudestaan - joka kerta, kun hyökkääjä sai 50% enemmän tokeneita.
Suurin osa OSMOn tuotoista vaihdettiin ATOMiin ja siirrettiin lompakkoon, joka sisältää 9 miljoonan dollarin arvoisia ATOM-tokeneita, Twitter-säie kertoo. Tämä lompakko ei kuitenkaan sisältänyt USDC-tunnuksia, jotka hyökkääjä sai hyödyntämällä virhettä – USDC-tunnuksia ei vaihdettu eikä siirretty, lanka lisäsi.
Kun hänellä on ollut hauskaa,
➼ Hän lähettää $ Atom muiden lompakoiden ketjuun.
Siitä on vaikea sanoa https://t.co/o02L0T5QtQ skanneri kuinka paljon se oli yhteensä, mutta seurasin lompakoita ja… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Kesäkuu 8, 2022
Osmoosi tunnistaa hyökkääjät; FireStake tulee esiin
Osmosisin Twitter-säikeen mukaan neljä hyökkääjää on tunnistettu päärikollisiksi, jotka varastivat yli 95 prosenttia hyödynnetystä määrästä. Kaksi neljästä hyökkääjästä on vapaaehtoisesti palauttanut kaikki varastetut varat. Kahdella muulla on liiketoimia keskitetyille pörsseille ja keskuspörsseistä, joita on hälytetty tekijöiden tunnistamiseksi ja varojen palauttamiseksi.
Päivitys:
– On tunnistettu 4 henkilöä, joiden osuus toteutuneesta hyödyntämismäärästä on yli 95 %.
– Kaksi neljästä henkilöstä on ilmaissut ennakoivasti aikomuksensa palauttaa hyödynnetty määrä kokonaisuudessaan.
- Osmoosi? (@osmosiszone) Kesäkuu 8, 2022
Hädin tuskin tunti Osmosisin hyökkääjiä koskevan twiitin jälkeen FireStake – Cosmos-ekosysteemin validoija – tuli Twitterissä ja myönsi hyödyntäneensä LP-virhettä, mutta totesi yrittävänsä "säätää asiat oikein" ja tehdä yhteistyötä Osmosis-tiimin kanssa. palauttamaan käytetyt varat.
Rakas @osmosiszone Monet teistä tietävät eilen tapahtuneesta Osmosis LP -virheestä.
Eivät usko sen olevan totta, kaksi jäsentä @fire_stake aloitti testaamisen nähdäkseen, oliko vika olemassa, testaus kasvoi hyvässä harkinnassa väliaikaiseksi raukeamiseksi ja…
— FireStake | Validaattori (@stake_fire) Kesäkuu 8, 2022
onnistuimme muuttamaan 226 dollaria USD 2 miljoonaksi dollariksi. Ajattelimme perheemme tulevaisuutta, emme yhteisömme tulevaisuutta.
Pian sen jälkeen painoimme koko yön, kuinka voimme korjata asiat. Työskentelemme tällä hetkellä Osmosis-tiimin kanssa…
— FireStake | Validaattori (@stake_fire) Kesäkuu 8, 2022
palauttamaan varat mahdollisimman pian. Työskentelemme myös Osmosis-tiimin kanssa rohkaistaksemme kaikkia muita, jotka ovat käyttäneet tätä tilannetta hyväkseen, tulemaan ja palauttamaan varat.
Olet tervetullut luoksemme, ja voimme auttaa toimimaan yhteyshenkilönä. Meidän on korjattava tämä.
— FireStake | Validaattori (@stake_fire) Kesäkuu 8, 2022
Lähde: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/