Osmoosi, a hajautettu vaihto (DEX) rakennettu Cosmos-verkkoon, pysäytettiin juuri ennen kello 3:00 EST keskiviikkona sen jälkeen, kun hyökkääjät käyttivät hyväkseen likviditeettitarjoajan (LP) bugia noin 5 miljoonan dollarin arvosta.
Vika oli ensimmäinen tunnistettu Reddit-viestissä virallisella Cosmos Network -sivulla. Käyttäjä Straight-Hat3855 kiinnitti huomion "vakavaan ongelmaan" Osmosis (OSMO) -järjestelmässä, jonka ansiosta käyttäjät voivat mielivaltaisesti kasvattaa LP:itä 50 % yksinkertaisesti lisäämällä ja poistamalla likviditeettiä. Reddit-viesti poistettiin nopeasti, mutta ei ennen kuin pahantahtoiset toimijat käyttivät hyväkseen virhettä, jonka seurauksena Osmosis-pörssin likviditeettipoolista poistettiin noin 5 miljoonaa dollaria.
Hyödynnyksen ja LP-virheen tunnistamisen jälkeen Osmosis-vaihto pysäytettiin 4,713,064 XNUMX XNUMX lohkon korkeudelle, mukaan Osmosis-lohkon tutkimusmatkailija Mintscanin ilmoitukseen.
Projektin moderaattori RoboMcGobo selitti, kuinka bugi toimi Osmosis Discordin julkaisujen sarjassa, joka kertoi kuinka virheen ansiosta hyökkääjät saattoivat lisätä likviditeettiä mihin tahansa Osmosis LP:hen ja sitten nostaa sen välittömästi 150 %:n tuoton saamiseksi alkuperäisestä talletuksestaan: "Pohjimmiltaan , toiminto antaisi 50 % liikaa LP-osuuksia liittymistä varten", RoboMcGobo kirjoitti hieman kello 4:00 jälkeen keskiviikkona ja lisäsi: "Jos olisi pitänyt saada 10 LP-osaketta, 15 olisi saavutettu."
RoboMcGobo selitti, että "pieni määrä käyttäjiä käytti virhettä tahallaan" ja "muutama muu ilmeisesti tahattomasti". Osmosisin Twitter-säikeen mukaan neljä hyökkääjää oli vastuussa 95 prosentista hyväksikäytön kokonaismäärästä, ja kaksi hyökkääjistä astui vapaaehtoisesti eteenpäin palauttaakseen varastetut varat.
Päivitys:
– On tunnistettu 4 henkilöä, joiden osuus toteutuneesta hyödyntämismäärästä on yli 95 %.
– Kaksi neljästä henkilöstä on ilmaissut ennakoivasti aikomuksensa palauttaa hyödynnetty määrä kokonaisuudessaan.
- Osmoosi (@osmosiszone) Kesäkuu 8, 2022
Noin tunti Osmosisin hyökkäystä koskevan twiitin jälkeen FireStake, a validaattori Cosmos-ekosysteemissä, julkaisi Twitter-säikeen ja myönsi, että "hyvän harkintakyvyn väliaikainen epäonnistuminen" näki sen, että kaksi sen tiimin jäsentä käytti vikaa hyväkseen noin 2 miljoonan dollarin arvosta.
Firestake kertoi 1,700 XNUMX Twitter-seuraajalleen, että he "ajattelivat [heidän] perheensä tulevaisuutta", kun he jatkoivat vian hyödyntämistä. Myönnettyään "stressiä läpi yön" tapahtumasta, he kuitenkin päättivät palauttaa varat vapaaehtoisesti ja "suorittaa asiat".
Rakas @osmosiszone Monet teistä tietävät eilen tapahtuneesta Osmosis LP -virheestä.
Eivät usko sen olevan totta, kaksi jäsentä @fire_stake aloitti testaamisen nähdäkseen, oliko vika olemassa, testaus kasvoi hyvässä harkinnassa väliaikaiseksi raukeamiseksi ja…
— FireStake | Validaattori (@stake_fire) Kesäkuu 8, 2022
Mukaan Osmosisin perustajan Sunny Aggarwalin viestiin, kaksi muuta varkaudesta vastuussa olevaa hakkeria tekivät joukon transaktioita keskitetyille pörsseille, minkä Aggarwal uskoo helpottavan heidän jäljittämisensä.
RoboMcGobo toisti Aggarwalin sanat projektin Discordissa: "Varat on linkitetty CEX-tileihin. Lainvalvontaviranomaisille on ilmoitettu… toivomme, että hyväksikäyttäjät tekevät täällä oikein, jotta aggressiivisia toimia ei tarvita.”
Lähde: https://cointelegraph.com/news/attackers-loot-5m-from-osmosis-in-lp-exploit-2m-returned-soon-after