7 червня хтось опублікував a Reddit нитка який пізніше був видалений модератором форуму. Потік містив серйозну претензію — у мережі Osmosis була помилка, яка дозволяла постачальникам ліквідності заробляти додаткові 50% при додаванні та вилученні ліквідності.
Осмос (ОСМО) — це блокчейн в екосистемі Cosmos, який пропонує децентралізований обмін і гаманець.
Претензія здавалася малоймовірною, поки мережу не було зупинено для аварійного обслуговування.
Привіт @osmosiszone друзів. Починаючи з блоку №4713064, ланцюг Osmosis був зупинений для аварійного обслуговування.
У цей час Osmosis DEX і Wallet не працюють, доки ремонт не буде завершено.
?Будь ласка, чекайте, поки розробники працюватимуть, щоб повернути нас.
— ??EmperorOsmo (Hator Nodes)?? (@Flowslikeosmo) 8 Червня, 2022.
Хоча команда Osmosis тоді не визнала подвиг, зупинка відбулася після того, як кілька зловмисників витягли близько 5 мільйонів доларів.
Пули ліквідності НЕ були «повністю вичерпані».
Розробники виправляють помилку, визначають розмір втрат (ймовірно, в діапазоні ~5 мільйонів доларів) і працюють над відновленням.
Більше інформації. https://t.co/WOu7MMgSUM
— Осмос? (@osmosiszone) 8 Червня, 2022.
Команда Osmosis виявила помилку та розробила виправлення, яке тестується перед розгортанням. Розробники все ще працюють над перезапуском мережі.
Оновлення: виявлено помилку та написано патч.
Триває додаткове тестування, перш ніж валідатори будуть рекомендовані для координації перезапуску.
Повний звіт про помилки та план дій для більш ретельного та належного наскрізного тестування оновлень ланцюга, які будуть виконані найближчими днями. https://t.co/DjJMOEQxrT
— Осмос? (@osmosiszone) 8 Червня, 2022.
Отже, ось як зловмисникам вдалося експлуатувати мережу, як показує активність у мережі:
Користувач Twitter зазначив у ланцюжку, що один із зловмисників додав ліквідність у вигляді USD Coin (USDC) і OSMO. Потім зловмисник отримав натомість токени GAMM LP, які представляли їх частку в пулі. Ці зловмисники негайно вилучили токени GAMM LP, тим самим отримавши на 50% більше від суми USDC та OSMO, яка була додана як ліквідність.
По-перше, мабуть, субредітер оголосив про це деякий час тому – тому їм підтримуйте.
➼ Отже, гаманець (osmo1hq) є експлуататором.
Спочатку він надає Ліквідність у вигляді $ USDC (Я перевірив це у вихідному коді) + $ OSMO
Потім він отримує $GAMM Натомість жетони LP. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) 8 Червня, 2022.
Потім зловмисник обміняв токени OSMO на ATOM і відправив їх на інші гаманці. Цей же процес повторювався знову і знову — щоразу зловмисник отримував на 50% більше жетонів.
Більшість прибутків від OSMO були обміняні на ATOM і переведені на гаманець, який містить токени ATOM на 9 мільйонів доларів, йдеться у повідомленні в Twitter. Однак цей гаманець не включав токени USDC, які зловмисник отримав, скориставшись помилкою — токени USDC не були ні замінені, ні передані, додається в потоці.
Як тільки він розважиться,
➼ Він надсилає $ АТОМ на ланцюжок інших гаманців.
Важко сказати на https://t.co/o02L0T5QtQ сканер, скільки всього було, але я відстежив гаманці і… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) 8 Червня, 2022.
Осмос визначає нападників; Виходить FireStake
Згідно з повідомленням Osmosis у Twitter, чотири зловмисники були ідентифіковані як основні зловмисники, які вкрали понад 95% використаної суми. Двоє з чотирьох зловмисників зголосилися повернути повністю викрадені кошти. Двоє інших здійснюють транзакції на централізовані біржі та з них, які були попереджені, щоб ідентифікувати зловмисників та повернути кошти.
Оновлення:
– Виявлено 4 особи, на які припадає понад 95% від суми реалізованого експлойту.
– 2 з 4 осіб активно виявили намір повернути використану суму повністю.
— Осмос? (@osmosiszone) 8 Червня, 2022.
Всього через годину після твіту Osmosis щодо зловмисників FireStake — валідатор в екосистемі Cosmos — виступив у твіті та визнав, що використовує помилку LP, але зазначив, що вони намагаються «виправити речі» та співпрацюють з командою Osmosis. повернути використані кошти.
Дорогий @osmosiszone Спільнота, багато хто з вас знає про помилку Osmosis LP, яка сталася вчора.
Не вірячи в те, що це справжнє, двоє членів @fire_stake розпочав тестування, щоб перевірити, чи існує помилка, тестування переросло в тимчасову помилку в розумінні, і…
— FireStake | Перевірка (@stake_fire) 8 Червня, 2022.
під час цього нам вдалося конвертувати 226 доларів США в ~2 мільйони доларів США. Ми думали про майбутнє нашої родини, а не про майбутнє нашої громади.
Незабаром після цього ми протягом ночі наголошували, як ми можемо все виправити. Зараз ми працюємо з командою Osmosis…
— FireStake | Перевірка (@stake_fire) 8 Червня, 2022.
повернути кошти якомога швидше. Ми також працюємо з командою Osmosis, щоб заохотити всіх, хто скористався цією ситуацією, висловитися та повернути кошти.
Ви можете прийти до нас, і ми можемо допомогти діяти як зв’язок. Нам потрібно виправити це.
— FireStake | Перевірка (@stake_fire) 8 Червня, 2022.
Джерело: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/