Атакующие использовали ошибку, первоначально указанную в теме на reddit, которая позволяла пользователям получать на 50% больше токенов при добавлении и снятии ликвидности на Osmosis.
7 июня кто-то опубликовал тему на Reddit, которая позже была удалена модератором форума. В теме содержалось серьезное утверждение — в сети Osmosis была обнаружена ошибка, которая позволяла поставщикам ликвидности зарабатывать дополнительные 50% при добавлении и снятии ликвидности.
Osmosis (OSMO) — это блокчейн в экосистеме Cosmos, который предлагает децентрализованную биржу и кошелек.
Утверждение казалось невероятным, пока сеть не была остановлена на аварийное обслуживание.
Здравствуйте @osmosiszone друзья. Начиная с блока 4713064 цепочка Osmosis была остановлена для проведения аварийного обслуживания.
В настоящее время DEX и кошелек Osmosis не работают до завершения ремонта.
Пожалуйста, будьте наготове, пока разработчики работают над тем, чтобы вернуть нас в строй.
— EmperorOsmo(Hathor Nodes) (@Flowslikeosmo) Июнь 8, 2022
Хотя команда Osmosis не признала наличие эксплойта в то время, остановка произошла после того, как несколько злоумышленников слили около $5 млн.
Пулы ликвидности НЕ были «полностью опустошены».
Разработчики исправляют ошибку, оценивают размер потерь (вероятно, в диапазоне ~$5M) и работают над восстановлением.
Более подробная информация будет предоставлена. https://t.co/WOu7MMgSUM
— Osmosis (@osmosiszone) 8 июня 2022
Команда Osmosis выявила ошибку и разработала патч, который тестируется перед развертыванием. Разработчики все еще работают над перезапуском сети.
Обновление: Ошибка была выявлена и написано исправление.
Проводится дополнительное тестирование, прежде чем валидаторам будет рекомендовано координировать перезапуск.
Полный отчет об ошибке и план действий по более тщательному и правильному тестированию обновлений цепочки будет представлен в ближайшие дни. https://t.co/DjJMOEQxrT
— Osmosis (@osmosiszone) 8 июня 2022
Таким образом, злоумышленникам удалось использовать сеть, о чем свидетельствует активность на цепочке:
Один из пользователей Twitter отметил в своей теме, что один из злоумышленников добавил ликвидность в виде USD Coin (USDC) и OSMO. Затем злоумышленник получил взамен токены GAMM LP, которые представляли собой их долю в пуле. Эти злоумышленники немедленно вывели токены GAMM LP, получив таким образом 50% сверх суммы USDC и OSMO, которые были добавлены в качестве ликвидности.
Во-первых, судя по всему, один из сабреддитеров уже давно об этом сообщил — так что респект им.
➼ Итак, кошелек (osmo1hq) — это эксплуататор.
Сначала он предоставляет ликвидность в виде $USDC (я проверил это в исходном коде) + $OSMO
Затем он получает взамен токены LP $GAMM pic.twitter.com/K3JzrDRPMN
— Andeh OnChain (@0xLosingMoney) 8 июня 2022
Затем преступник обменял токены OSMO на ATOM и отправил их на другие кошельки. Этот же процесс повторялся снова и снова — каждый раз злоумышленник получал на 50% больше токенов.
Большая часть выручки в OSMO была обменена на ATOM и переведена на кошелек, содержащий токены ATOM на сумму $9 млн, говорится в сообщении в Twitter. Однако в этом кошельке не было токенов USDC, которые злоумышленник получил в результате эксплуатации ошибки — токены USDC не были ни обменены, ни переведены, добавляется в сообщении.
После того, как он повеселился,
➼ Он отправляет $ATOM на цепочку других кошельков.
На сканере https://t.co/o02L0T5QtQ трудно сказать, сколько в общей сложности это было, но я отследил кошельки и… pic.twitter.com/dchu2pDgQG
— Andeh OnChain (@0xLosingMoney) Июнь 8, 2022
Осмос идентифицирует нападавших; появляется FireStake
Четыре злоумышленника были идентифицированы как основные преступники, похитившие более 95% эксплуатируемой суммы, согласно сообщению в Twitter компании Osmosis. Двое из четырех злоумышленников добровольно вернули похищенные средства в полном объеме. Двое других провели транзакции на централизованные биржи и с них, которые были оповещены для выявления преступников и возврата средств.
Обновление:
— Установлены 4 физических лица, на долю которых приходится 95%+ от суммы реализованного эксплойта.
— 2 из 4 человек активно выразили намерение вернуть использованную сумму в полном объеме.
— Osmosis (@osmosiszone) 8 июня 2022
Более чем через час после твита Osmosis о злоумышленниках, FireStake — валидатор в экосистеме Cosmos — выступил с твитом и признался, что использовал ошибку LP, но отметил, что пытается «исправить ситуацию» и работает с командой Osmosis над возвратом использованных средств.
Уважаемое сообщество @osmosiszone, многие из вас знают об ошибке Osmosis LP, которая произошла вчера.
Не веря, что это реально, два члена @fire_stake начали тестирование, чтобы проверить, существует ли ошибка, тестирование переросло во временный промах в здравом смысле, и…
— FireStake | Validator (@stake_fire) 8 июня 2022
в процессе нам удалось конвертировать $226 USD в ~$2M. Мы думали о будущем нашей семьи, а не о будущем нашего сообщества.
Вскоре после этого мы всю ночь думали о том, как исправить ситуацию. Сейчас мы работаем с командой Osmosis…
— FireStake | Validator (@stake_fire) 8 июня 2022
чтобы вернуть средства как можно скорее. Мы также работаем с командой Osmosis, чтобы призвать всех остальных, кто воспользовался этой ситуацией, объявиться и вернуть средства.
Вы можете прийти к нам, и мы поможем вам выступить в качестве связующего звена. Мы должны все исправить.
— FireStake | Validator (@stake_fire) 8 июня 2022
