Aanvallers hebben misbruik gemaakt van een bug, die aanvankelijk in een Reddit thread werd gemeld, waardoor gebruikers 50% meer tokens konden krijgen tijdens het toevoegen en opnemen van liquiditeit op Osmosis.
Op 7 juni plaatste iemand een Reddit thread die later werd verwijderd door de moderator van het forum. De thread bevatte een serieuze claim – het Osmosis netwerk had een bug waardoor liquiditeitsverschaffers een extra 50% konden verdienen bij het toevoegen en opnemen van liquiditeit.
Osmosis (OSMO) is een blockchain in het Cosmos ecosysteem dat een gedecentraliseerde exchange en wallet aanbiedt.
De claim leek onwaarschijnlijk totdat het netwerk werd stilgelegd voor noodonderhoud.
Hallo @osmosiszone vrienden. Vanaf blok 4713064 is de Osmoseketen stilgelegd voor noodonderhoud.
Op dit moment zijn de Osmosis DEX en Wallet inoperabel, totdat de reparaties zijn voltooid.
Gelieve stand by te blijven terwijl Devs werken om ons weer aan de gang te krijgen.
– EmperorOsmo(Hathor Nodes) (@Flowslikeosmo) Juni 8, 2022
Hoewel het Osmosis-team toen niet erkende dat het om een exploit ging, kwam de stop er nadat enkele aanvallers zo’n $5 miljoen hadden buitgemaakt.
Liquiditeitspools werden NIET “volledig leeggezogen”.
Devs zijn de bug aan het repareren, de omvang van de verliezen aan het bepalen (waarschijnlijk in de orde van grootte van ~$5M), en werken aan herstel.
Meer info volgt. https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) Juni 8, 2022
Het Osmosis team heeft de bug geïdentificeerd en een patch ontwikkeld die wordt getest voor de uitrol. De ontwikkelaars zijn nog bezig om het netwerk opnieuw op te starten.
Update: De bug is geïdentificeerd en er is een patch geschreven.
Er wordt verder getest voordat validators wordt aangeraden om een herstart te coördineren.
Volledig bug rapport en actie plan voor meer grondige en juiste end-to-end testen van keten upgrades volgen in de komende dagen. https://t.co/DjJMOEQxrT
– Osmosis (@osmosiszone) Juni 8, 2022
Dus zo wisten de aanvallers het netwerk uit te buiten, zoals blijkt uit de on-chain activiteit:
Een Twitter-gebruiker wees er in een thread op dat een van de aanvallers liquiditeit toevoegde in de vorm van USD Coin (USDC) en OSMO. De aanvaller ontving vervolgens GAMM LP tokens in ruil, die hun aandeel in de pool vertegenwoordigden. Deze daders trokken de GAMM LP-tokens onmiddellijk terug, waarbij ze 50% meer wonnen dan het bedrag aan USDC en OSMO dat als liquiditeit was toegevoegd.
First off, blijkbaar een subredditer riep dit uit een tijdje terug – dus props aan hen.
Dus de portemonnee (osmo1hq) is de uitbuiter.
Eerst verschaft hij liquiditeit in de vorm van $USDC (ik heb dit geverifieerd in de broncode) + $OSMO
Hij ontvangt dan $GAMM LP tokens in ruil. pic.twitter.com/K3JzrDRPMN
– Andeh OnChain (@0xLosingMoney) Juni 8, 2022
De dader verwisselde vervolgens de OSMO tokens voor ATOM en stuurde ze naar andere wallets. Ditzelfde proces werd keer op keer herhaald – elke keer kreeg de aanvaller 50% meer tokens.
Het grootste deel van de opbrengst in OSMO werd omgeruild voor ATOM en overgebracht naar een portemonnee die voor $9 miljoen aan ATOM-tokens bevat, aldus de Twitter-draad. Deze wallet bevatte echter niet de USDC tokens die de aanvaller verkreeg door misbruik te maken van de bug – de USDC tokens werden noch geswapt noch overgezet, voegde de thread toe.
Als hij zijn pleziertje heeft gehad,
stuurt hij de $ATOM naar een keten van andere portefeuilles.
Het is moeilijk te zeggen op de https://t.co/o02L0T5QtQ scanner hoeveel het in totaal was, maar ik heb de portefeuilles nagetrokken en… pic.twitter.com/dchu2pDgQG
– Andeh OnChain (@0xLosingMoney) Juni 8, 2022
Osmosis identificeert aanvallers; FireStake komt naar voren
Vier aanvallers zijn geïdentificeerd als de belangrijkste daders die meer dan 95% van het uitgebuite bedrag hebben gestolen, zo blijkt uit een Twitter thread van Osmosis. Twee van de vier aanvallers hebben zich vrijwillig gemeld om het volledige gestolen bedrag terug te geven. De andere twee hebben transacties van en naar gecentraliseerde beurzen, die zijn gealarmeerd om de daders te identificeren en de fondsen terug te krijgen.
Update:
– 4 individuen zijn geïdentificeerd die verantwoordelijk zijn voor 95%+ van het gerealiseerde bedrag.
– 2 van de 4 individuen hebben proactief de intentie uitgesproken om het ontvreemde bedrag volledig terug te geven.
– Osmosis (@osmosiszone) Juni 8, 2022
Amper een uur na de tweet van Osmosis over de aanvallers, kwam FireStake – een validator in het ecosysteem van Cosmos – naar voren in een tweet en gaf toe misbruik te hebben gemaakt van de LP-bug, maar merkte op dat ze proberen “de zaken recht te zetten” en samen te werken met het Osmosis-team om de misbruikte fondsen terug te geven.
Geachte @osmosiszonegemeenschap, velen van jullie weten van de Osmosis LP-bug die gisteren plaatsvond.
In ongeloof dat het echt was, begonnen twee leden van @fire_stake te testen om te zien of de bug bestond, het testen groeide uit tot een tijdelijk gebrek aan gezond verstand, en…
– FireStake | Validator (@stake_fire) Juni 8, 2022
in het proces, wisten we $226 USD om te zetten in ~$2M. We dachten aan de toekomst van ons gezin, en niet aan de toekomst van onze gemeenschap.
Kort daarna hebben we de hele nacht gestrest over hoe we dingen recht kunnen zetten. We werken momenteel samen met het Osmosis team…
– FireStake | Validator (@stake_fire) Juni 8, 2022
om de fondsen zo snel mogelijk terug te geven. We werken ook samen met het Osmosis-team om alle anderen die van deze situatie hebben geprofiteerd aan te moedigen zich te melden en het geld terug te geven.
U bent welkom bij ons, en wij kunnen helpen als tussenpersoon. We moeten dit rechtzetten.
– FireStake | Validator (@stake_fire) Juni 8, 2022
