7. juna neko je objavio a reddit navoj koji je kasnije obrisan od strane moderatora foruma. Nit je sadržavao ozbiljnu tvrdnju - Osmosis mreža je imala grešku koja je omogućavala pružaocima likvidnosti da zarade dodatnih 50% prilikom dodavanja i povlačenja likvidnosti.
osmoza (OSMO) je blockchain u Cosmos ekosistemu koji nudi decentraliziranu razmjenu i novčanik.
Tvrdnja se činila nevjerovatnom sve dok mreža nije zaustavljena zbog hitnog održavanja.
Zdravo @osmosiszone prijatelji. Od bloka #4713064 lanac osmoze je zaustavljen radi hitnog održavanja.
U ovom trenutku Osmosis DEX i novčanik nisu u funkciji, dok se popravke ne završe.
?Molimo vas sačekajte dok Devs rade na tome da nas vrate.
— ??EmperorOsmo(Hathor Nodes)?? (@Flowslikeosmo) Juni 8, 2022
Iako tim Osmosisa tada nije priznao eksploataciju, do prekida je došlo nakon što je nekoliko napadača izvuklo oko 5 miliona dolara.
Pulovi likvidnosti NISU “potpuno isušeni”.
Programeri popravljaju grešku, određuju veličinu gubitaka (vjerovatno u rasponu od ~5 miliona dolara) i rade na oporavku.
Još informacija. https://t.co/WOu7MMgSUM
— Osmoza? (@osmosiszone) Juni 8, 2022
Osmosis tim je identificirao grešku i razvio zakrpu koja se testira prije implementacije. Programeri još uvijek rade na ponovnom pokretanju mreže.
Ažuriranje: Greška je identificirana i napisana je zakrpa.
Još testiranja su u toku prije nego što se preporuče validatori za koordinaciju ponovnog pokretanja.
Potpuni izvještaj o greškama i akcioni plan za detaljnije i pravilnije testiranje nadogradnje lanca od kraja do kraja koje će uslijediti u narednim danima. https://t.co/DjJMOEQxrT
— Osmoza? (@osmosiszone) Juni 8, 2022
Dakle, ovako su napadači uspjeli da iskoriste mrežu, što pokazuje aktivnost na lancu:
Korisnik Twittera istakao je u temi da je jedan od napadača dodao likvidnost u obliku USD Coin (USDC) i OSMO. Napadač je zatim zauzvrat dobio GAMM LP tokene, koji su predstavljali njihov udio u pulu. Ovi počinioci su odmah povukli GAMM LP tokene, čime su dobili 50% više od iznosa USDC i OSMO koji su dodati kao likvidnost.
Kao prvo, očigledno je subredditer ovo prozvao neko vreme – pa im je u prilog.
➼ Dakle, novčanik (osmo1hq) je eksploatator.
Prvo pruža Likvidnost u obliku $ USDC (Provjerio sam ovo u izvornom kodu) + $ OSMO
On tada prima $GAMM LP tokeni zauzvrat. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Juni 8, 2022
Počinitelj je zatim zamijenio OSMO tokene za ATOM i poslao ih u druge novčanike. Isti proces se ponavljao iznova i iznova — svaki put kada je napadač dobio 50% više tokena.
Većina prihoda u OSMO-u zamijenjena je za ATOM i prebačena u novčanik koji sadrži ATOM tokene u vrijednosti od 9 miliona dolara, navodi se na Twitteru. Međutim, ovaj novčanik nije uključivao USDC tokene koje je napadač dobio iskorištavanjem greške - USDC tokeni nisu ni zamijenjeni ni preneseni, dodaje se u niti.
Kad se jednom zabavlja,
➼ On šalje $ ATOM u lanac drugih novčanika.
Teško je reći na https://t.co/o02L0T5QtQ skener koliko je ukupno bilo, ali sam pratio novčanike i... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Juni 8, 2022
Osmoza identifikuje napadače; FireStake izlazi
Četiri napadača su identifikovana kao ključni počinioci koji su ukrali više od 95% eksploatisanog iznosa, navodi Osmosis na Twitteru. Dva od četiri napadača su se dobrovoljno prijavila da vrate kompletna ukradena sredstva. Druga dva imaju transakcije na i sa centralizovanih centrala, koje su upozorene da identifikuju počinioce i povrate sredstva.
update:
– Identifikovane su 4 osobe koje čine 95%+ ostvarenog iznosa eksploatacije.
– 2 od 4 osobe su proaktivno izrazile nameru da u potpunosti vrate iskorišćeni iznos.
— Osmoza? (@osmosiszone) Juni 8, 2022
Jedva sat vremena nakon Osmosisovog Tweeta o napadačima, FireStake — validator u Cosmos ekosistemu — javio se u Tweetu i priznao da je iskoristio LP bug, ali je primijetio da pokušavaju „ispraviti stvari“ i da rade s Osmosis timom da vrati eksploatisana sredstva.
drag @osmosiszone Zajednice, mnogi od vas znaju za grešku Osmosis LP koja se dogodila jučer.
U nevjerici da je to stvarno, dva člana @fire_stake počeo testirati da vidi da li greška postoji, testiranje je preraslo u privremeni propust u dobroj prosudbi, i...
— FireStake | Validator (@stake_fire) Juni 8, 2022
u tom procesu, uspjeli smo pretvoriti 226 USD u ~2 miliona USD. Razmišljali smo o budućnosti naše porodice, a ne budućnosti naše zajednice.
Ubrzo nakon što smo to učinili, cijelu noć smo naglašavali kako da ispravimo stvari. Trenutno radimo sa Osmosis timom…
— FireStake | Validator (@stake_fire) Juni 8, 2022
da se sredstva vrate u najkraćem mogućem roku. Također radimo sa Osmosis timom kako bismo ohrabrili sve druge koji su iskoristili ovu situaciju da se jave i vrate sredstva.
Možete nam doći, a mi vam možemo pomoći da djelujemo kao veza. Moramo ovo ispraviti.
— FireStake | Validator (@stake_fire) Juni 8, 2022
Izvor: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/