Tým Osmosis uznal svou odpovědnost a uvedl, že na nové aktualizaci bude pracovat ještě nejméně dva dny.
Po včerejším útoku na kanalizaci tým Osmosis zveřejnil na Twitteru aktualizační vlákno, ve kterém uvádí, že všechny ztráty budou kompenzovány. Tým převzal plnou odpovědnost za útok a uvedl, že vydání nové aktualizace bude trvat nejméně dva dny kvůli podrobnému testování.
Dne 8. června čtyři útočníci využili chybu v nedávné aktualizaci Osmosis a odčerpali z poolů likvidity přibližně 5 milionů dolarů. Tým Osmosis tyto osoby identifikoval aněkolik hodin po útoku.
Poslední aktualizace situace
Když tým pracoval na opětovném spuštění systému, zveřejnil na Twitteru aktualizační vlákno. V době psaní tohoto článku se jedná o poslední aktualizaci, která od týmu přišla.
Tým se zmínil o obnovení ukradených finančních prostředků, o důvodu chyby v systému a o časovém plánu další aktualizace.
Odcizené prostředky budou vráceny
Zatajil přitom podrobnosti o tom, jakým způsobem podle týmu projekt ztráty pokryje.
Všechny ztráty budou pokryty.
Děje se tak kombinací snahy o co největší zpětné získání vykořisťovaných prostředků a závazku zálohovat veškeré nevrácené prostředky z pokladny vývojáře.
Více informací o konkrétním plánu vymáhání bude k dispozici v budoucnu.
– Osmosis (@osmosiszone) 8. června 2022
Několik hodin před posledním aktualizačním vláknem tým uvedl, že dva ze čtyř zneuživatelů se přihlásili a souhlasili s vrácením ukradených prostředků. V posledním aktualizačním vlákně je však tým ohledně záměrů útočníků méně uklidňující.
Místo toho, aby se tým zmínil o dvou útočnících, kteří prohlásili, že ukradené prostředky vrátí, pouze uvedl:
„Většinu zneužitých prostředků má na svědomí malý počet peněženek a jsme přesvědčeni, že z těchto peněženek se nám podaří získat zpět vysoký počet prostředků. „
Tým přebírá plnou odpovědnost
Tým Osmosis vydal 8. června 2022 aktualizaci sítě, Osmosis v9.0. Útočníkům trvalo jen několik hodin, než rozpoznali chybu v nové aktualizaci a využili ji.
Tým Osmosis podle svých tweetů převzal za útok plnou odpovědnost, protože zneužitá chyba byla důsledkem zjevné chyby.
Přiznali, že chyba byla jednoduchá a měli si jí všimnout a opravit ji už během testování. Zmínka:
„Byla bolestně přehlédnuta při interním testování, které bylo zaměřeno na pokročilejší funkce související s aktualizací.“
Budoucí aktualizace
Osmosis se poučil ze svých chyb a uvedl, že si dá s příští aktualizací na čas, aby zajistil, že se podobný útok již nebude opakovat.
Tým uvedl, že identifikoval příčinu chyby a pracuje na ní. Zároveň však uvedli, že se při příští aktualizaci zaměří spíše na celkové zabezpečení protokolů než jen na opravu chyby.
„Před vydáním jakékoli budoucí aktualizace provedeme několik změn a vylepšení našich bezpečnostních protokolů, abychom zajistili kvalitu a bezpečnost systému Osmosis. Několik hlavních vývojových subjektů provede komplexní retrospektivu bezpečných vývojových procesů. „
Vzhledem k tomu, že rozsah aktualizace je poměrně velký, tým Osmosis odhaduje, že vydání další aktualizace bude trvat nejméně dva dny.
