Gli aggressori hanno sfruttato un bug, inizialmente segnalato in un thread su Reddit, che consentiva agli utenti di guadagnare il 50% in più di token durante l’aggiunta e il ritiro di liquidità su Osmosis.
Il 7 giugno, qualcuno ha pubblicato un thread su Reddit che è stato successivamente cancellato dal moderatore del forum. Il thread conteneva una grave affermazione: la rete Osmosis presentava un bug che consentiva ai fornitori di liquidità di guadagnare il 50% in più quando aggiungevano e ritiravano liquidità.
Osmosis (OSMO) è una blockchain dell’ecosistema Cosmos che offre uno scambio e un portafoglio decentralizzati.
L’affermazione è apparsa improbabile fino a quando la rete non è stata fermata per una manutenzione di emergenza.
Ciao @osmosiszone amici. A partire dal blocco 4713064 la catena Osmosis è stata fermata per una manutenzione di emergenza.
In questo momento il DEX e il Portafoglio Osmosis sono inutilizzabili, fino al completamento delle riparazioni.
Per favore rimanete in attesa mentre i Devs lavorano per rimetterci in funzione.
– EmperorOsmo(Hathor Nodes) (@Flowslikeosmo) June 8, 2022
Anche se il team di Osmosis non ha riconosciuto un exploit in quel momento, l’arresto è avvenuto dopo che alcuni attaccanti hanno prosciugato circa 5 milioni di dollari.
Le piscine di liquidità NON sono state “completamente prosciugate”.
Gli sviluppatori stanno correggendo il bug, verificando l’entità delle perdite (probabilmente dell’ordine di circa 5 milioni di dollari) e lavorando al recupero.
Ulteriori informazioni in arrivo. https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) June 8, 2022
Il team di Osmosis ha identificato il bug e sviluppato una patch che viene testata prima della distribuzione. Gli sviluppatori stanno ancora lavorando per riavviare la rete.
Aggiornamento: il bug è stato identificato ed è stata creata una patch.
Sono in corso ulteriori test prima di raccomandare ai validatori di coordinare un riavvio.
Nei prossimi giorni seguiranno un rapporto completo sul bug e un piano d’azione per un test finale più approfondito e corretto degli aggiornamenti della catena. https://t.co/DjJMOEQxrT
– Osmosis (@osmosiszone) June 8, 2022
Quindi è così che gli aggressori sono riusciti a sfruttare la rete, come dimostra l’attività sulla catena:
Un utente di Twitter ha fatto notare in un thread che uno degli attaccanti ha aggiunto liquidità sotto forma di USD Coin (USDC) e OSMO. L’attaccante ha poi ricevuto in cambio token GAMM LP, che rappresentavano la sua quota nel pool. Questi autori hanno immediatamente ritirato i token GAMM LP, guadagnando così il 50% in più rispetto alla quantità di USDC e OSMO che erano stati aggiunti come liquidità.
Prima di tutto, a quanto pare un subredditer ha segnalato la cosa qualche tempo fa – quindi complimenti a loro.
Il portafoglio (osmo1hq) è lo sfruttatore.
Per prima cosa fornisce liquidità sotto forma di $USDC (l’ho verificato nel codice sorgente) + $OSMO
In cambio riceve $GAMM gettoni LP. pic.twitter.com/K3JzrDRPMN
– Andeh OnChain (@0xLosingMoney) June 8, 2022
L’autore ha poi scambiato i token OSMO con ATOM e li ha inviati ad altri portafogli. Lo stesso processo è stato ripetuto più volte: ogni volta l’aggressore ha guadagnato il 50% in più di token.
La maggior parte dei proventi di OSMO è stata scambiata con ATOM e trasferita a un portafoglio che contiene 9 milioni di dollari di token ATOM, si legge nel thread su Twitter. Tuttavia, questo portafoglio non includeva i token USDC che l’aggressore ha guadagnato sfruttando il bug: i token USDC non sono stati né scambiati né trasferiti, ha aggiunto il thread.
Una volta che si è divertito,
➼ invia il $ATOM a una catena di altri portafogli.
È difficile dire con lo scanner https://t.co/o02L0T5QtQ quanto fosse in totale, ma ho seguito i portafogli e… pic.twitter.com/dchu2pDgQG
– Andeh OnChain (@0xLosingMoney) June 8, 2022
Osmosi identifica gli aggressori; FireStake si fa avanti
Quattro aggressori sono stati identificati come i principali responsabili che hanno rubato oltre il 95% dell’importo sfruttato, secondo un thread su Twitter di Osmosis. Due dei quattro aggressori si sono offerti di restituire tutti i fondi rubati. Gli altri due hanno effettuato transazioni da e verso le borse centralizzate, che sono state allertate per identificare gli autori e recuperare i fondi.
Aggiornamento:
– Sono stati identificati 4 individui che rappresentano oltre il 95% dell’importo dell’exploit realizzato.
– 2 dei 4 individui hanno espresso in modo proattivo l’intenzione di restituire interamente l’importo sfruttato.
– Osmosis (@osmosiszone) 8 giugno 2022
Poco più di un’ora dopo il tweet di Osmosis sugli aggressori, FireStake – un validatore dell’ecosistema Cosmos – si è fatto avanti con un tweet e ha ammesso di aver sfruttato il bug LP, ma ha fatto notare che sta cercando di “sistemare le cose” e di lavorare con il team di Osmosis per restituire i fondi sfruttati.
Cara comunità @osmosiszone, molti di voi sono a conoscenza del bug di Osmosis LP verificatosi ieri.
Increduli che fosse reale, due membri di @fire_stake hanno iniziato a fare dei test per verificare l’esistenza del bug, i test si sono trasformati in una temporanea mancanza di buon senso e…
– FireStake | Validator (@stake_fire) June 8, 2022
Nel processo, siamo riusciti a convertire 226 dollari USA in circa 2 milioni di dollari. Pensavamo al futuro della nostra famiglia e non a quello della nostra comunità.
Poco dopo, per tutta la notte ci siamo preoccupati di come sistemare le cose. Attualmente stiamo lavorando con il team di Osmosis…
– FireStake | Validator (@stake_fire) June 8, 2022
per restituire i fondi il prima possibile. Stiamo inoltre collaborando con il team di Osmosis per incoraggiare chiunque altro abbia approfittato di questa situazione a farsi avanti e a restituire i fondi.
Potete rivolgervi a noi e possiamo aiutarvi a fare da tramite. Dobbiamo sistemare le cose.
– FireStake | Validator (@stake_fire) June 8, 2022