一夜之间,去中心化交易所(DEX)Osmosis(OSMO)的流动性池被利用,攻击者赚取了约500万美元。DEX所基于的区块链已被关闭,一个补丁已被应用,在验证者重新启动网络之前,正在进行内部测试。
流动性资金池在奥斯曼上被耗尽
今天凌晨,去中心化交易所(DEX)Osmosis(OSMO)的流动性池中发现了一个缺陷,该交易所依赖于自己的专用区块链。这一信息是由Reddit平台上的一名用户首次披露的(该帖子后来被删除),已由Osmosis团队在Twitter上正式确认。
流动资金池并没有 “完全耗尽”。
开发人员正在修复这个错误,确定损失的规模(可能在500万美元左右),并努力恢复。
更多信息将陆续公布。https://t.co/WOu7MMgSUM
– Osmosis(@osmosiszone)2022年6月8日
为了防止进一步的财务损失,根据Mintscan探索器,支持DEX的区块链在第4,713,064号区块被关闭了。然而,一个恶意的用户有时间为自己的利益利用这个缺陷。
根据奥斯曼的说法,盗窃案的价值约为500万美元。小偷的交易(在区块探索器上可见)在区块链被关闭前2个区块就已经完成。
根据负责该协议的团队的最新发布,该缺陷已被发现,并已相应地应用了一个补丁。目前正在进行内部测试,以检查类似的缺陷是否不可利用,然后将重启命令传达给网络验证者,以便尽快恢复操作。
然而,预计未来几天将发布一份详细的报告,区块链上的技术团队将进行一系列深入的测试,以便提出网络的可能更新。
攻击的过程
。
根据首先报告该漏洞的Reddit用户,该漏洞直接位于流动性池本身。根据他的观察,如果一个DEX用户为一个资金池贡献了流动性,他能够多提取50%的资金,而且没有任何资金锁定期。
因此,攻击者使用这种方法增加了交易的数量。然而,他有可能是在纯属偶然的情况下发现了这种方法。
事实上,根据链上数据,在第一笔交易中,只有26个OSMO代币(在攻击发生时约为30美元)被添加到流动性池中,导致提取时额外的13个OSMO的初始利润。
第二笔交易规模更大:恶意用户将101,230个OSMO代币(在攻击发生时超过116,000美元)存入资金池,导致58,207美元的OSMO利润。
然后,他一次又一次地重复操作,每次的金额都更大,然后将他的一些代币转移到另一个钱包,再从这个钱包里重复操作。总共有大约500万美元通过这个过程被抽走了。
OSMO代币的价格受到的影响较小,在24小时内遭受约7%的价值损失。它目前的交易价格为1.11美元,与2022年3月4日达到的ATH(最高价)11.25美元相差甚远。
