Os atacantes exploraram um bug, inicialmente apontado num fio vermelho, que permitia aos utilizadores ganhar 50% mais fichas enquanto adicionavam e retiravam liquidez na Osmose.
A 7 de Junho, alguém postou um tópico Reddit que foi posteriormente eliminado pelo moderador do fórum. O tópico continha uma reclamação séria – a rede de Osmose tinha um bug que permitia aos fornecedores de liquidez ganharem mais 50% ao adicionar e retirar liquidez.
A Osmose (OSMO) é uma cadeia de bloqueio no ecossistema do Cosmos que oferece uma troca e carteira descentralizada.
A reivindicação parecia improvável até que a rede fosse parada para manutenção de emergência.
Hello @osmosiszone amigos. A partir do bloco 4713064, a cadeia de Osmose foi interrompida para manutenção de emergência.
Neste momento, a Osmose DEX e a Carteira estão inoperacionais, até que as reparações estejam concluídas.
Please aguarde enquanto os Devs trabalham para nos colocar de volta em.
– EmperorOsmo(Hathor Nodes) (@Flowslikeosmo) 8 de Junho de 2022
Embora a equipa de Osmose não tenha reconhecido uma exploração na altura, a paragem aconteceu depois de alguns atacantes terem drenado cerca de $5 milhões.
As piscinas de liquefacção NÃO foram “completamente drenadas”.
Os dispositivos estão a corrigir o bug, a delimitar o tamanho das perdas (provavelmente no intervalo de ~$5M), e a trabalhar na recuperação.
Mais informações em breve. – Osmose (@osmosiszone) Junho 8, 2022
A equipa de Osmose identificou o bug e desenvolveu um remendo que está a ser testado antes de ser implantado. Os programadores ainda estão a trabalhar no reinício da rede.
Update: O bug foi identificado e foi escrito um remendo.
Estão em curso mais testes antes de se recomendar aos validadores a coordenação de um reinício.
Relatório completo do bug e plano de acção para testes mais completos e apropriados de fim a fim das actualizações da cadeia a seguir nos próximos dias. – Osmose (@osmosiszone) 8 de Junho de 2022
Então foi assim que os atacantes conseguiram explorar a rede, como mostra a actividade na cadeia:
Um utilizador do Twitter assinalou num tópico que um dos atacantes adicionou liquidez sob a forma de USD Coin (USDC) e OSMO. O atacante recebeu então em troca fichas GAMM LP, que representavam a sua parte no pool. Estes agressores retiraram imediatamente os tokens GAMM LP, ganhando assim 50% a mais do que o montante de USDC e OSMO que tinha sido acrescentado como liquidez.
Primeiro off, aparentemente um subredditer chamou isto há algum tempo atrás – por isso adereços para eles.
➼ Portanto, a carteira (osmo1hq) é o explorador.
Primeiro ele fornece Liquidez sob a forma de $USDC (verifiquei isto no código fonte) + $OSMO
Recebe então $GAMM LP tokens em troca. pic.twitter.com/K3JzrDRPMN
– Andeh OnChain (@0xLosingMoney) Junho 8, 2022
O perpetrador trocou então as fichas OSMO por ATOM e enviou-as para outras carteiras. Este mesmo processo foi repetido vezes sem conta – cada vez que o agressor ganhava 50% mais fichas.
A maioria das receitas na OMAPE foram trocadas por ATOM e transferidas para uma carteira que contém 9 milhões de dólares de fichas ATOM, disse o tópico do Twitter. No entanto, esta carteira não incluía as fichas USDC que o atacante ganhou ao explorar o bug – as fichas USDC não foram trocadas nem transferidas, o fio acrescentado.
Após ter tido a sua diversão,
➼ Ele envia o $ATOM para uma cadeia de outras carteiras.
É difícil dizer no scanner https://t.co/o02L0T5QtQ quanto no total foi, mas eu rastreei as carteiras e… pic.twitter.com/dchu2pDgQG
– Andeh OnChain (@0xLosingMoney) 8 de Junho de 2022
Osmose identifica atacantes; o FireStake aparece
Os quatro atacantes foram identificados como os principais perpetradores que roubaram mais de 95% da quantidade explorada, de acordo com um fio do Twitter por Osmose. Dois dos quatro atacantes voluntariaram-se para devolver os fundos roubados na sua totalidade. Os outros dois têm transacções de e para trocas centralizadas, que foram alertados para identificar os perpetradores e recuperar os fundos.
Atualização:
– Foram identificados 4 indivíduos que representam mais de 95% da quantidade de exploração realizada.
– 2 dos 4 indivíduos expressaram proactivamente a intenção de devolver a quantidade explorada na totalidade.
– Osmose (@osmosiszone) 8 de Junho de 2022
Apenas uma hora após o Tweet da Osmose sobre os atacantes, o FireStake – um validador no ecossistema do Cosmos – apresentou-se num Tweet e admitiu explorar o bug LP, mas notou que estão a tentar “corrigir as coisas” e a trabalhar com a equipa da Osmose para devolver os fundos explorados.
Dear @ comunidade de Osmose, muitos de vós sabem sobre o bug LP de Osmose que ocorreu ontem.
Na incredulidade de ser real, dois membros da comunidade @fire_stake começaram a testar para ver se o bug existia, os testes cresceram para um lapso temporário em bom senso, e…
– FireStake | Validador (@stake_fire) 8 de Junho de 2022
no processo, conseguimos converter $226 USD para ~$2M. Estávamos a pensar no futuro da nossa família, e não no futuro da nossa comunidade.
Pouco depois de o fazermos, sublinhámos durante toda a noite sobre como podemos corrigir as coisas. Estamos actualmente a trabalhar com a equipa de Osmose…
– FireStake | Validador (@stake_fire) Junho 8, 2022
para devolver os fundos o mais depressa possível. Estamos também a trabalhar com a equipa de Osmose para encorajar qualquer outra pessoa que tenha aproveitado esta situação a apresentar-se e devolver os fundos.
É bem-vindo a vir até nós, e nós podemos ajudar a agir como ligação. Precisamos de corrigir isto.
– FireStake | Validador (@stake_fire) Junho 8, 2022