Angreifer haben einen Fehler ausgenutzt, auf den zunächst in einem Reddit-Thread hingewiesen wurde und der es den Nutzern ermöglichte, beim Hinzufügen und Abheben von Liquidität auf Osmosis 50 % mehr Token zu erhalten.
Am 7. Juni postete jemand einen Reddit-Thread, der später vom Moderator des Forums gelöscht wurde. Der Thread enthielt eine schwerwiegende Behauptung: Das Osmosis-Netzwerk hatte einen Fehler, der es Liquiditätsanbietern ermöglichte, beim Hinzufügen und Abziehen von Liquidität 50 % extra zu verdienen.
Osmosis (OSMO) ist eine Blockchain im Cosmos-Ökosystem, die eine dezentralisierte Börse und Geldbörse anbietet.
Die Behauptung erschien unwahrscheinlich, bis das Netzwerk für eine Notfallwartung angehalten wurde.
Hallo @osmosiszone Freunde. Ab dem Block 4713064 wurde die Osmosekette für eine Notfallwartung angehalten.
Zu diesem Zeitpunkt sind die Osmosis DEX und Wallet nicht funktionsfähig, bis die Reparaturen abgeschlossen sind.
Bitte haltet euch bereit, während die Devs daran arbeiten, uns wieder zum Laufen zu bringen.
– EmperorOsmo(Hathor Nodes) (@Flowslikeosmo) Juni 8, 2022
Obwohl das Osmosis-Team zu diesem Zeitpunkt einen Exploit nicht bestätigte, kam es zum Stopp, nachdem einige Angreifer rund 5 Millionen Dollar erbeutet hatten.
Die Liquiditätspools wurden NICHT „vollständig entleert“.
Die Entwickler sind dabei, den Fehler zu beheben, die Höhe der Verluste zu ermitteln (wahrscheinlich im Bereich von ~$5M) und an der Wiederherstellung zu arbeiten.
Weitere Informationen werden folgen. https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) Juni 8, 2022
Das Osmosis-Team hat den Fehler identifiziert und einen Patch entwickelt, der vor der Bereitstellung getestet wird. Die Entwickler arbeiten immer noch daran, das Netzwerk neu zu starten.
Aktualisierung: Der Fehler wurde identifiziert und ein Patch geschrieben.
Weitere Tests sind im Gange, bevor den Prüfern empfohlen wird, einen Neustart zu koordinieren.
Ein vollständiger Fehlerbericht und ein Aktionsplan für gründlichere und ordnungsgemäße End-to-End-Tests von Ketten-Upgrades werden in den nächsten Tagen folgen. https://t.co/DjJMOEQxrT
– Osmosis (@osmosiszone) Juni 8, 2022
So ist es den Angreifern also gelungen, das Netzwerk auszunutzen, wie die Aktivität auf der Kette zeigt:
Ein Twitter-Nutzer wies in einem Thread darauf hin, dass einer der Angreifer Liquidität in Form von USD Coin (USDC) und OSMO hinzufügte. Der Angreifer erhielt dann im Gegenzug GAMM LP-Token, die seinen Anteil am Pool darstellten. Die Angreifer zogen die GAMM LP-Token sofort wieder ab und gewannen damit 50 % mehr als die Menge an USDC und OSMO, die als Liquidität hinzugefügt worden waren.
Zunächst einmal, anscheinend ein subredditer rief diese aus einer Weile zurück – so props zu ihnen.
➼ Die Geldbörse (osmo1hq) ist also der Ausbeuter.
Zuerst stellt er Liquidität in Form von $USDC (ich habe dies im Quellcode überprüft) + $OSMO zur Verfügung.
Im Gegenzug erhält er dann $GAMM LP-Token. pic.twitter.com/K3JzrDRPMN
– Andeh OnChain (@0xLosingMoney) Juni 8, 2022
Der Täter tauschte dann die OSMO-Token gegen ATOM und schickte sie an andere Geldbörsen. Dieser Vorgang wiederholte sich immer wieder – jedes Mal gewann der Angreifer 50 % mehr Token.
Der Großteil der Erlöse in OSMO wurde in ATOM getauscht und in eine Wallet transferiert, die ATOM-Token im Wert von 9 Millionen Dollar enthält, so der Twitter-Thread. Diese Wallet enthielt jedoch nicht die USDC-Token, die der Angreifer durch die Ausnutzung des Fehlers erlangt hatte – die USDC-Token wurden weder getauscht noch übertragen, so der Thread weiter.
Wenn er seinen Spaß gehabt hat,
➼ schickt er die $ATOM an eine Kette anderer Geldbörsen.
Es ist schwer, auf dem https://t.co/o02L0T5QtQ Scanner zu erkennen, wie viel es insgesamt war, aber ich habe die Wallets verfolgt und… pic.twitter.com/dchu2pDgQG
– Andeh OnChain (@0xLosingMoney) Juni 8, 2022
Osmose identifiziert Angreifer; FireStake kommt heraus
Vier Angreifer wurden als die Haupttäter identifiziert, die über 95 % des erbeuteten Betrags gestohlen haben, wie aus einem Twitter-Thread von Osmosis hervorgeht. Zwei der vier Angreifer haben sich bereit erklärt, das gesamte gestohlene Geld zurückzugeben. Die anderen beiden haben Transaktionen zu und von zentralen Börsen durchgeführt, die alarmiert wurden, um die Täter zu identifizieren und die Gelder wiederzuerlangen.
Aktualisierung:
– Es wurden 4 Personen identifiziert, auf die mehr als 95 % des erbeuteten Betrags entfallen.
– 2 der 4 Personen haben proaktiv die Absicht geäußert, den erbeuteten Betrag in voller Höhe zurückzugeben.
– Osmosis (@osmosiszone) Juni 8, 2022
Kaum eine Stunde nach dem Tweet von Osmosis über die Angreifer meldete sich FireStake – ein Validierer im Cosmos-Ökosystem – in einem Tweet und gab zu, den LP-Bug ausgenutzt zu haben, merkte aber an, dass sie versuchen, „die Dinge richtig zu stellen“ und mit dem Osmosis-Team zusammenarbeiten, um die ausgenutzten Gelder zurückzugeben
Liebe @osmosiszone Community, viele von euch wissen von dem Osmosis LP-Bug, der gestern aufgetreten ist.
Zwei Mitglieder von @fire_stake begannen zu testen, um zu sehen, ob der Fehler wirklich existiert. Aus dem Testen wurde ein vorübergehender Lapsus des guten Urteilsvermögens und…
– FireStake | Validator (@stake_fire) Juni 8, 2022
Dabei ist es uns gelungen, 226 USD in ~$2M umzuwandeln. Wir dachten dabei an die Zukunft unserer Familie und nicht an die Zukunft unserer Gemeinschaft.
Kurz danach haben wir die ganze Nacht darüber nachgedacht, wie wir die Dinge wieder in Ordnung bringen können. Wir arbeiten derzeit mit dem Osmosis-Team zusammen…
– FireStake | Validator (@stake_fire) Juni 8, 2022
um die Gelder so schnell wie möglich zurückzugeben. Wir arbeiten auch mit dem Osmosis-Team zusammen, um alle anderen, die diese Situation ausgenutzt haben, zu ermutigen, sich zu melden und die Gelder zurückzugeben.
Sie können sich gerne an uns wenden, und wir können als Vermittler fungieren. Wir müssen das in Ordnung bringen.
– FireStake | Validator (@stake_fire) Juni 8, 2022
