W nocy wykorzystano lukę na pulach płynności zdecentralizowanej giełdy (DEX) Osmosis (OSMO), zarabiając na atakującym około 5 milionów dolarów. Blockchain, na którym opiera się DEX, został wyłączony, zastosowano łatkę i trwają wewnętrzne testy, zanim walidatorzy ponownie uruchomią sieć.
Liquidity pools drained on Osmosis
Wczesnym rankiem odkryto wadę w pulach płynności zdecentralizowanej giełdy (DEX) Osmosis (OSMO), która opiera się na własnym, dedykowanym blockchainie. Informacja, ujawniona po raz pierwszy przez użytkownika na platformie Reddit (post został od tego czasu usunięty), została oficjalnie potwierdzona przez zespoły Osmosis na Twitterze.
Pole płynnościowe NIE zostały „całkowicie wydrenowane”.
Devs naprawiają błąd, szacują wielkość strat (prawdopodobnie w zakresie ~$5M), i pracują nad odzyskaniem.
Więcej informacji w najbliższym czasie. https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) 8 czerwca 2022
Aby zapobiec dalszym szkodom finansowym, blockchain obsługujący DEX został wyłączony na bloku 4,713,064 według eksploratora Mintscan. Złośliwy użytkownik miał jednak czas na wykorzystanie luki dla własnych korzyści.
Według Osmosis wartość kradzieży to około 5 milionów dolarów. Transakcje złodzieja (widoczne na eksploratorze bloków) zostały sfinalizowane 2 bloki przed wyłączeniem blockchaina.
Zgodnie z najnowszym komunikatem zespołów odpowiedzialnych za protokół, dziura została zidentyfikowana i odpowiednio zaaplikowano łatkę. Trwają wewnętrzne testy sprawdzające, czy nie da się wykorzystać podobnego błędu, a następnie polecenia restartu zostaną przekazane walidatorom sieci, aby operacje mogły zostać wznowione jak najszybciej.
Oczekuje się jednak, że w ciągu najbliższych kilku dni zostanie wydany szczegółowy raport i seria dogłębnych testów zostanie przeprowadzona przez zespoły techniczne na blockchainie w celu zaproponowania ewentualnej aktualizacji sieci.
Przebieg ataku
Według użytkownika Reddita, który pierwszy zgłosił wadę, znajdowała się ona bezpośrednio przy samych pulach płynności. Według jego obserwacji, jeśli użytkownik DEX wniósł płynność do puli, był w stanie wypłacić o 50% więcej, i to bez żadnego okresu lock-in dla środków.
Atakujący zwiększył w ten sposób liczbę transakcji przy użyciu tej metody. Możliwe jest jednak, że odkrył tę metodę przez czysty przypadek.
Rzeczywiście, według danych on-chain, tylko 26 tokenów OSMO (około 30 dolarów w momencie ataku) zostało dodanych do puli płynności w pierwszej transakcji, co skutkowało początkowym zyskiem 13 dodatkowych OSMO przy wycofaniu.
Druga transakcja była znacznie większa: złośliwy użytkownik zdeponował w puli 101 230 tokenów OSMO (ponad 116 000 USD w momencie ataku), co dało mu zysk w wysokości 58 207 USD w OSMO.
Następnie powtarzał operację w kółko, za każdym razem z większą kwotą, po czym przeniósł część swoich tokenów do innego portfela, z którego powtórzył operację ponownie. W sumie w wyniku tego procesu uszczknięto około 5 milionów dolarów.
Cena tokena OSMO została dotknięta w mniejszym stopniu, doznając utraty wartości o około 7% w ciągu 24 godzin. Obecnie jest notowany na poziomie 1,11$, co jest dalekim krokiem od jego ATH (najwyższej ceny) 11,25$ osiągniętej 4 marca 2022 roku.
