Ночью была использована брешь в пулах ликвидности децентрализованной биржи (DEX) Osmosis (OSMO), что принесло злоумышленнику около 5 миллионов долларов. Блокчейн, на котором базируется DEX, был закрыт, применено исправление и проводится внутреннее тестирование перед тем, как валидаторы перезапустят сеть.
Пулы ликвидности осушены на осмосе
Сегодня рано утром был обнаружен изъян в пулах ликвидности децентрализованной биржи (DEX) Osmosis (OSMO), которая опирается на собственный специализированный блокчейн. Информация, впервые обнародованная пользователем на платформе Reddit (сообщение было удалено), была официально подтверждена командой Osmosis в Twitter.
Пулы ликвидности НЕ были «полностью осушены».
Разработчики исправляют ошибку, оценивают размер потерь (вероятно, в диапазоне ~$5M) и работают над восстановлением.
Более подробная информация будет позже. https://t.co/WOu7MMgSUM
— Osmosis (@osmosiszone) 8 июня 2022
Для предотвращения дальнейшего финансового ущерба блокчейн, поддерживающий DEX, был закрыт на блоке 4,713,064, согласно исследователю Mintscan. Однако злоумышленник успел использовать этот недостаток в своих интересах.
По данным Osmosis, стоимость кражи составляет около 5 миллионов долларов. Транзакции вора (видимые в блокчейн-проводнике) были завершены за 2 блока до закрытия блокчейна.
Согласно последнему сообщению от команд, отвечающих за протокол, недостаток был выявлен, и соответствующее исправление было применено. В настоящее время проводятся внутренние тесты, чтобы проверить, не эксплуатируется ли аналогичный недостаток, после чего распоряжения о перезапуске будут переданы валидаторам сети, чтобы возобновить работу как можно скорее.
Однако ожидается, что в ближайшие несколько дней будет опубликован подробный отчет и техническими командами блокчейна будет проведена серия углубленных тестов, чтобы предложить возможное обновление сети.
Ход атаки
По словам пользователя Reddit, который первым сообщил о дефекте, он находился непосредственно в самих пулах ликвидности. По его наблюдениям, если пользователь DEX вносил ликвидность в пул, он мог снять еще 50% от нее, причем без какого-либо периода блокировки средств.
Таким образом, злоумышленник увеличил количество транзакций с использованием этого метода. Однако не исключено, что он открыл этот метод по чистой случайности.
Действительно, согласно данным on-chain, в первой транзакции в пул ликвидности было добавлено всего 26 токенов OSMO (около 30 долларов на момент атаки), что привело к первоначальной прибыли в размере 13 дополнительных OSMO при выводе средств.
Вторая транзакция была намного крупнее: злоумышленник вложил в пул 101 230 токенов OSMO (более $116 000 на момент атаки), получив прибыль в размере $58 207 в OSMO.
Затем он повторял эту операцию снова и снова, каждый раз с большей суммой, после чего переводил часть своих токенов на другой кошелек, с которого повторял операцию снова. В общей сложности через этот процесс было выкачано около 5 миллионов долларов.
Цена токена OSMO пострадала в меньшей степени, потеряв в стоимости около 7% за 24 часа. В настоящее время он торгуется на уровне $1,11, что намного ниже его ATH (наивысшей цены) в $11,25, достигнутой 4 марта 2022 г.