攻撃者は、当初redditスレッドで指摘された、ユーザーがOsmosisで流動性を追加・撤回する際に50%多くトークンを獲得できるバグを悪用した。
6月7日、誰かがRedditのスレッドを投稿し、後にフォーラムのモデレーターによって削除されました。このスレッドには、Osmosisネットワークにバグがあり、流動性プロバイダーが流動性を追加したり引き出したりする際に、50%余分に稼ぐことができるという深刻な主張が含まれていました。
Osmosis (OSMO) はCosmosエコシステムのブロックチェーンで、分散型取引所とウォレットを提供しています。
ネットワークが緊急メンテナンスのために停止されるまでは、この主張はありえないように見えました。
ハロー@osmosiszoneフレンズです。ブロック4713064で、オスモシスチェーンは緊急メンテナンスのため停止しています。
現在、修理が完了するまで、Osmosis DEXとWalletは使用できません。
– EmperorOsmo(Hathor Nodes) (@Flowslikeosmo) June 8, 2022
当時、Osmosisチームは悪用を認めませんでしたが、数人の攻撃者が約500万ドルを流出させた後、停止がもたらされました
。
流動性プールは「完全に流出」したわけではありません。
開発者はバグを修正し、損失の規模を調査し(おそらく〜500万ドルの範囲)、回復に取り組んでいます。
詳細は後ほど。https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) June 8, 2022
Osmosisチームはバグを特定し、パッチを開発し、展開前にテスト中です。開発者はまだネットワークの再起動に取り組んでいます。
更新:バグは特定され、パッチが作成されました。
バリデーターが再起動の調整を推奨される前に、さらなるテストが進行中です。
完全なバグレポートと、チェーンアップグレードの徹底的で適切なエンドツーエンドテストのためのアクションプランは、今後数日以内に公開されます。https://t.co/DjJMOEQxrT
– Osmosis (@osmosiszone) June 8, 2022
このように、攻撃者はオンチェーン活動からわかるように、ネットワークを悪用することに成功したわけです。
あるTwitterユーザーがスレッドで、攻撃者の1人がUSDコイン(USDC)とOSMOの形で流動性を追加したことを指摘しました。その後、攻撃者はプールでのシェアを表すGAMM LPトークンを見返りとして受け取りました。これらの犯人はすぐにGAMM LPトークンを引き出し、流動性として追加されたUSDCとOSMOの量より50%余分に獲得しました。
まず最初に、どうやらsubredditerが少し前にこれを呼びかけていたようです – 彼らには敬意を表します。
ウォレット(osmo1hq)は搾取者です。
まず、彼は$USDC(ソースコードで確認済み)+$OSMOという形で流動性を提供する。
そして、その見返りとして$GAMMのLPトークンを受け取ります。pic.twitter.com/K3JzrDRPMN
– アンデOnChain (@0xLosingMoney) June 8, 2022
。
犯人はその後、OSMOトークンをATOMに交換し、他のウォレットに送りました。この同じプロセスが何度も繰り返され、そのたびに攻撃者は50%多くトークンを獲得しました。
OSMOの収益のほとんどはATOMに交換され、900万ドル相当のATOMトークンを含むウォレットに送金されたと、Twitterのスレッドは述べています。しかし、このウォレットには、攻撃者がバグを悪用して得たUSDCトークンは含まれておらず、USDCトークンはスワップも送金もされていない、と同スレッドは付け加えています。
Once he’s having his fun,
$ATOM を他のウォレットに送信しています。
https://t.co/o02L0T5QtQスキャナでは総額いくらなのか分かりにくいのですが、ウォレットを追跡してみると…。pic.twitter.com/dchu2pDgQG
– アンデ OnChain (@0xLosingMoney) June 8, 2022
浸透圧で攻撃者を特定し、ファイアーステイクが登場
オスモーシスのTwitterスレッドによると、エクスプロイトされた金額の95%以上を盗んだ重要な犯人として、4人の攻撃者が特定されました。4人の攻撃者のうち2人は、盗まれた資金を完全に返還することを志願しています。他の2人は中央集権的な取引所との取引があり、犯人を特定し、資金を回収するよう警告されています。
Update:
– 4人の個人を特定し、実現したエクスプロイト額の95%以上を占めています。
– 4人のうち2人は、搾取された金額を全額返還する意思を積極的に表明しています。
– Osmosis (@osmosiszone) June 8, 2022
Osmosisが攻撃者についてツイートした約1時間後、Cosmosエコシステムの検証者であるFireStakeがツイートし、LPバグの悪用を認めましたが、「事態を正す」ためにOsmosisチームと協力して、悪用した資金を返還しようとしていることに言及しました
..
親愛なる@osmosiszoneコミュニティの皆様、昨日発生したOsmosis LPバグについては多くの方がご存じだと思います。
@fire_stakeの2人のメンバーは、バグが存在するかどうかを確認するためにテストを始め、テストは一時的な判断ミスに発展し…
– FireStake|Validator (@stake_fire) June 8, 2022
..
その過程で、226米ドルを〜200万ドルに変換することができました。私たちは家族の将来を考え、コミュニティの将来を考えなかったのです。
その直後、私たちは一晩中、どうすれば物事を正すことができるかについてストレスを感じていました。現在、Osmosisチームと協力しています。
– FireStake|バリデーター (@stake_fire) June 8, 2022
に一刻も早く資金を返還するよう要請しています。また、この状況を利用した人がいれば、ぜひ名乗り出て資金を返却するよう、オスモシスチームと協力して呼びかけています。
私たちのところに来ていただければ、連絡係としてお手伝いできます。私たちはこれを正す必要があります。
– FireStake|Validator (@stake_fire) 2022年6月8日
。