攻击者从Osmosis抽走500万美元；FireStake验证者承认利用了LP漏洞

攻击者利用了最初在reddit线程中指出的一个错误，该错误允许用户在增加和提取Osmosis上的流动性时获得50%的代币。

6月7日，有人发布了一个Reddit线程，后来被论坛的版主删除。该线程包含一个严重的主张–Osmosis网络有一个错误，允许流动性提供者在增加和提取流动性时赚取额外的50%。

Osmosis（OSMO）是Cosmos生态系统中的一个区块链，提供一个去中心化的交易所和钱包。

在网络因紧急维护而停止之前，这一说法似乎是不可能的。

Hello @osmosiszone friends. 从区块4713064开始，Osmosis链已经停止了紧急维护。

在这个时候，Osmosis DEX和钱包是不能操作的，直到维修完成。

请待命，因为开发人员正在努力让我们重新开始。

– EmperorOsmo（Hathor Nodes）（@Flowslikeosmo） June 8, 2022

尽管Osmosis团队当时没有承认有漏洞，但在几个攻击者耗费了大约500万美元后，就出现了停顿。

＃

＃

流动资金池并没有 “完全被吸干”。

开发人员正在修复这个错误，确定损失的规模（可能在500万美元左右），并努力恢复。

更多的信息即将到来。https://t.co/WOu7MMgSUM

– Osmosis (@osmosiszone) June 8, 2022

Osmosis团队已经发现了这个错误，并开发了一个补丁，正在部署前进行测试。开发人员仍在努力重新启动网络。

更新：该错误已被发现并编写了一个补丁。

在建议验证者协调重启之前，正在进行更多的测试。

完整的错误报告和行动计划将在未来几天进行更彻底和适当的链式升级测试。https://t.co/DjJMOEQxrT

– Osmosis (@osmosiszone) June 8, 2022

所以这就是攻击者设法利用网络的方式，如链上活动所示。

一个Twitter用户在一个主题中指出，其中一个攻击者以美元币（USDC）和OSMO的形式增加流动性。然后攻击者收到了GAMM LP代币作为回报，这代表他们在资金池中的份额。这些肇事者立即撤回了GAMM LP代币，从而获得了比作为流动性添加的USDC和OSMO数额多50%的收益。

首先，显然有一个subredditer在不久前指出了这一点–所以要为他们点赞。

➼因此，钱包（osmo1hq）是剥削者。

首先，他以$USDC的形式提供流动资金（我在源代码中验证了这一点）+$OSMO。

然后他收到了$GAMM LP代币作为回报。pic.twitter.com/K3JzrDRPMN

– Andeh OnChain (@0xLosingMoney) June 8, 2022

肇事者随后将OSMO代币换成ATOM，并将其发送到其他钱包。这个相同的过程一次又一次地重复–每次攻击者都会多获得50%的代币。

推特上说，OSMO中的大部分收益被换成了ATOM，并转移到一个包含价值900万美元的ATOM代币的钱包。然而，这个钱包并不包括攻击者通过利用该漏洞获得的USDC代币–USDC代币既没有被交换也没有被转移，该线程补充说。

一旦他得到了他的乐趣。

➼他把$ATOM发到其他钱包的链条上。

在https://t.co/o02L0T5QtQ 扫描仪上很难看出总共有多少钱，但我跟踪了这些钱包，…。pic.twitter.com/dchu2pDgQG

– Andeh OnChain (@0xLosingMoney) June 8, 2022

Osmosis识别攻击者；FireStake出来

根据Osmosis的Twitter线程，四个攻击者已被确定为窃取超过95%被利用金额的主要犯罪者。四个攻击者中的两个已经自愿归还全部被盗资金。另外两个有往来于中央交易所的交易，这些交易所已被提醒识别肇事者并收回资金。

最新情况。

– 4名个人已被确认，占已实现利用金额的95%以上。

– 4人中有2人主动表示打算全额归还被利用的金额。

– Osmosis (@osmosiszone) June 8, 2022

在Osmosis发布关于攻击者的Tweet后不到一个小时，FireStake–Cosmos生态系统中的一个验证者–在Tweet中站了出来，承认利用了LP漏洞，但指出他们正在努力 “拨乱反正 “并与Osmosis团队合作归还被利用的资金。

亲爱的@osmosiszone社区，你们很多人都知道昨天发生的Osmosis LP bug。

由于不相信这是真的，@fire_stake的两名成员开始测试，看看这个bug是否存在，测试的结果是暂时失去了良好的判断力，并且…

– FireStake | Validator（@stake_fire）June 8, 2022

在这个过程中，我们成功地将226美元转换为约200美元。我们当时考虑的是我们家庭的未来，而不是我们社区的未来。

这样做后不久，我们整晚都在强调我们如何能够拨乱反正。我们目前正在与Osmosis团队合作…

– FireStake | Validator (@stake_fire) June 8, 2022

以尽快归还资金。我们也在与Osmosis团队合作，鼓励任何其他利用这种情况的人，请站出来归还资金。

欢迎你来找我们，我们可以帮助充当联络人。我们需要纠正这个问题。

– FireStake | Validator (@stake_fire) June 8, 2022