През нощ е използван пробив в пуловете за ликвидност на децентрализираната борса (DEX) Osmosis (OSMO), който е донесъл на нападателя около 5 милиона долара. Блокчейнът, на който е базирана DEX, е спрян, приложена е кръпка и се провеждат вътрешни тестове, преди валидаторите да рестартират мрежата.
Източване на басейни за ликвидност при Osmosis
Рано тази сутрин беше открит недостатък в пуловете за ликвидност на децентрализираната борса (DEX) Osmosis (OSMO), която разчита на свой собствен блокчейн. Информацията, разкрита за първи път от потребител на платформата Reddit (след това постът беше изтрит), беше официално потвърдена от екипите на Osmosis в Twitter.
Поликвидните басейни НЕ бяха „напълно източени“.
Разработчиците отстраняват грешката, определят размера на загубите (вероятно в рамките на ~5 млн. долара) и работят по възстановяването.
Очаквайте повече информация. https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) June 8, 2022
За да се предотвратят по-нататъшни финансови щети, блокчейнът, поддържащ DEX, беше спрян в блок 4,713,064 според проучвателя Mintscan. Въпреки това злонамерен потребител е имал време да се възползва от недостатъка в своя полза.
Според Osmosis стойността на кражбата е около 5 милиона долара. Транзакциите на крадеца (които се виждат в блоковия изследовател) са били финализирани 2 блока преди блокчейнът да бъде спрян.
Според последното съобщение на екипите, отговарящи за протокола, недостатъкът е идентифициран и съответно е приложена кръпка. В момента се провеждат вътрешни тестове, за да се провери дали не може да се използва подобен недостатък, след което заповедите за рестартиране ще бъдат съобщени на валидаторите на мрежата, за да могат операциите да бъдат възобновени възможно най-скоро.
Очаква се обаче през следващите няколко дни да бъде публикуван подробен доклад и техническите екипи на блокчейна да извършат серия от задълбочени тестове, за да предложат евентуална актуализация на мрежата.
Протичане на атаката
Според потребителя на Reddit, който пръв е съобщил за дефекта, той се намира директно в самите пулове за ликвидност. Според неговите наблюдения, ако потребител на DEX внесе ликвидност в пул, той може да изтегли още 50% от нея, при това без никакъв период на блокиране на средствата.
По този начин нападателят е увеличил броя на транзакциите, използвайки този метод. Възможно е обаче той да е открил този метод съвсем случайно.
Всъщност, според данните от веригата, при първата транзакция в ликвидния пул са добавени само 26 токена OSMO (около 30 долара към момента на атаката), което води до първоначална печалба от още 13 токена OSMO при изтегляне.
Втората транзакция е много по-голяма: злонамереният потребител депозира 101 230 OSMO токена (над 116 000 USD към момента на атаката) в пула, което води до печалба от 58 207 USD в OSMO.
След това той повтаря операцията отново и отново, всеки път с по-голяма сума, преди да прехвърли част от токените си в друг портфейл, от който повтаря операцията отново. Общо чрез този процес са източени около 5 милиона долара.
Цената на токена OSMO беше засегната в по-малка степен, като за 24 часа загуби около 7% от стойността си. Понастоящем се търгува на цена от 1,11 USD, което е далеч от най-високата му цена (ATH) от 11,25 USD, достигната на 4 март 2022 г.
