Útočníci zneužili chybu, na kterou původně upozornilo vlákno na redditu a která uživatelům umožnila získat o 50 % více tokenů při přidávání a odebírání likvidity na platformě Osmosis.
Dne 7. června někdo zveřejnil vlákno na redditu, které později moderátor fóra smazal. Vlákno obsahovalo závažné tvrzení – síť Osmosis měla chybu, která umožňovala poskytovatelům likvidity vydělat navíc 50 % při přidávání a odebírání likvidity.
Osmosis (OSMO) je blockchain v ekosystému Cosmos, který nabízí decentralizovanou burzu a peněženku.
Tvrzení se zdálo nepravděpodobné, dokud nebyla síť zastavena kvůli nouzové údržbě.
Zdravím @osmosiszone přátele. Od bloku 4713064 byl řetězec Osmosis zastaven z důvodu nouzové údržby.
V tuto chvíli jsou DEX a peněženka Osmosis nefunkční, dokud nebude oprava dokončena.
Prosím, vyčkejte, až nás vývojáři opět zprovozní.
– EmperorOsmo(Hathor Nodes) (@Flowslikeosmo) 8. června 2022
Ačkoli tým Osmosis tehdy zneužití nepřiznal, k zastavení došlo poté, co několik útočníků odčerpalo přibližně 5 milionů dolarů.
Likviditní pooly NEBYLY „zcela vyčerpány“.
Vývojáři opravují chybu, zjišťují velikost ztrát (pravděpodobně v rozsahu ~5 milionů dolarů) a pracují na obnově.
Další informace přineseme. https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) 8. června 2022
Tým Osmosis chybu identifikoval a vyvinul opravu, která se před nasazením testuje. Vývojáři stále pracují na restartování sítě.
Aktualizace: Chyba byla identifikována a byla napsána oprava.
Probíhá další testování, než bude validátorům doporučeno koordinovat restart.
Úplná zpráva o chybě a akční plán pro důkladnější a řádné testování aktualizací řetězců od konce ke konci budou následovat v příštích dnech. https://t.co/DjJMOEQxrT
– Osmosis (@osmosiszone) 8. června 2022
Takto se útočníkům podařilo zneužít síť, jak ukazuje aktivita v řetězci:
Jeden z uživatelů Twitteru ve svém vlákně upozornil, že jeden z útočníků přidal likviditu v podobě mincí USD (USDC) a OSMO. Útočník pak na oplátku obdržel tokeny GAMM LP, které představovaly jeho podíl v poolu. Tito pachatelé tokeny GAMM LP okamžitě stáhli, čímž získali o 50 % více, než kolik USDC a OSMO přidali jako likviditu.
Především na to zřejmě před časem upozornil jeden subredditer – takže jim patří props.
➼ Takže peněženka (osmo1hq) je exploiter.
Nejprve poskytuje likviditu ve formě $USDC (ověřil jsem si to ve zdrojovém kódu) + $OSMO
Na oplátku pak obdrží žetony $GAMM LP. pic.twitter.com/K3JzrDRPMN
– Andeh OnChain (@0xLosingMoney) 8. června 2022
Pachatel poté tokeny OSMO vyměnil za tokeny ATOM a odeslal je do jiných peněženek. Stejný proces se opakoval stále dokola – pokaždé útočník získal o 50 % více tokenů.
Většina výnosů v OSMO byla vyměněna za ATOM a převedena do peněženky, která obsahuje tokeny ATOM v hodnotě 9 milionů dolarů, uvádí se ve vlákně na Twitteru. Tato peněženka však neobsahovala tokeny USDC, které útočník získal zneužitím chyby – tokeny USDC nebyly vyměněny ani převedeny, dodalo vlákno.
Jakmile se pobaví,
➼ pošle $ATOM do řetězce dalších peněženek.
Na skeneru https://t.co/o02L0T5QtQ se dá těžko zjistit, kolik to bylo celkem, ale sledoval jsem peněženky a… pic.twitter.com/dchu2pDgQG
– Andeh OnChain (@0xLosingMoney) 8. června 2022
Osmóza identifikuje útočníky; přichází FireStake
Čtyři útočníci byli identifikováni jako hlavní pachatelé, kteří podle twitterového vlákna společnosti Osmosis ukradli více než 95 % zneužité částky. Dva ze čtyř útočníků se dobrovolně přihlásili k vrácení kompletních ukradených prostředků. U zbylých dvou se jedná o transakce na centralizovaných burzách a z nich, které byly upozorněny, aby pachatele identifikovaly a prostředky získaly zpět.
Aktualizace:
– Byly identifikovány 4 osoby, které představují více než 95 % realizované částky zneužití.
– Dvě ze čtyř osob aktivně vyjádřily záměr vrátit zneužitou částku v plné výši.
– Osmosis (@osmosiszone) 8. června 2022
Sotva hodinu po tweetu společnosti Osmosis ohledně útočníků se ve svém tweetu přihlásila společnost FireStake – validátor v ekosystému Cosmos – a přiznala se ke zneužití chyby LP, ale poznamenala, že se snaží „dát věci do pořádku“ a spolupracuje s týmem Osmosis na vrácení zneužitých prostředků.
Vážená @osmosiszone komunito, mnozí z vás vědí o chybě Osmosis LP, která se včera vyskytla.
V nedůvěře, že je to skutečné, začali dva členové @fire_stake testovat, zda chyba existuje, testování přerostlo v dočasné selhání zdravého úsudku a…
– FireStake | Validator (@stake_fire) 8. června 2022
v tomto procesu se nám podařilo přepočítat 226 USD na ~2 miliony dolarů. Mysleli jsme na budoucnost naší rodiny, a ne na budoucnost naší komunity.
Krátce poté, co jsme tak učinili, jsme se celou noc stresovali tím, jak můžeme dát věci do pořádku. V současné době spolupracujeme s týmem Osmosis…
– FireStake | Validator (@stake_fire) 8. června 2022
aby finanční prostředky co nejdříve vrátil. Spolupracujeme také s týmem Osmosis a vyzýváme všechny ostatní, kteří této situace využili, aby se přihlásili a prostředky vrátili.
Můžete se na nás obrátit a my vám pomůžeme fungovat jako prostředník. Musíme to napravit.
– FireStake | Validator (@stake_fire) 8. června 2022