7. juni postet noen en Reddit tråd som senere ble slettet av forumets moderator. Tråden inneholdt en alvorlig påstand - Osmosis-nettverket hadde en feil som gjorde at likviditetsleverandører kunne tjene 50% ekstra når de la til og trekker ut likviditet.
Osmose (OSMO) er en blokkjede i Cosmos-økosystemet som tilbyr en desentralisert utveksling og lommebok.
Kravet virket usannsynlig før nettverket ble stoppet for nødvedlikehold.
Hallo @osmosiszone venner. Fra blokk #4713064 har Osmose-kjeden blitt stoppet for nødvedlikehold.
På dette tidspunktet er Osmosis DEX og Wallet ubrukelige inntil reparasjoner er fullført.
?Vennligst stå på mens utviklerne jobber for å få oss tilbake.
— ??EmperorOsmo(Hathor Nodes)?? (@Flowslikeosmo) Juni 8, 2022
Selv om Osmosis-teamet ikke erkjente en utnyttelse på det tidspunktet, kom stansen etter at noen få angripere tappet rundt 5 millioner dollar.
Likviditetsbassenger ble IKKE "fullstendig drenert".
Utviklere fikser feilen, måler størrelsen på tapene (sannsynligvis i størrelsesorden ~$5 millioner) og jobber med gjenoppretting.
Mer info som kommer. https://t.co/WOu7MMgSUM
– Osmose? (@osmosiszone) Juni 8, 2022
Osmosis-teamet har identifisert feilen og utviklet en oppdatering som testes før distribusjon. Utviklere jobber fortsatt med å starte nettverket på nytt.
Oppdatering: Feilen er identifisert og en oppdatering skrevet.
Mer testing er i gang før validatorer anbefales å koordinere en omstart.
Fullstendig feilrapport og handlingsplan for mer grundig og riktig ende-til-ende-testing av kjedeoppgraderinger som følger i de kommende dagene. https://t.co/DjJMOEQxrT
– Osmose? (@osmosiszone) Juni 8, 2022
Så dette er hvordan angriperne klarte å utnytte nettverket, som vist av aktivitet i kjeden:
En Twitter-bruker påpekte i en tråd at en av angriperne la til likviditet i form av USD Coin (USDC) og OSMO. Angriperen mottok deretter GAMM LP-tokens i retur, som representerte deres andel i bassenget. Disse gjerningsmennene trakk umiddelbart tilbake GAMM LP-tokenene, og fikk dermed 50 % ekstra enn mengden USDC og OSMO som ble lagt til som likviditet.
Først av alt, tilsynelatende sa en subredditer dette for en stund tilbake - så rekvisitter til dem.
➼ Så det er lommeboken (osmo1hq) som er utnytteren.
Først gir han Likviditet i form av $ USDC (Jeg bekreftet dette i kildekoden) + $ OSMO
Deretter mottar han $GAMM LP tokens i retur. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Juni 8, 2022
Gjerningsmannen byttet deretter OSMO-tokenene med ATOM og sendte dem til andre lommebøker. Den samme prosessen ble gjentatt om og om igjen - hver gang angriperen fikk 50 % flere tokens.
Mesteparten av inntektene i OSMO ble byttet til ATOM og overført til en lommebok som inneholder ATOM-tokens verdt 9 millioner dollar, heter det i Twitter-tråden. Denne lommeboken inkluderte imidlertid ikke USDC-tokenene angriperen fikk ved å utnytte feilen - USDC-tokenene ble verken byttet eller overført, la tråden til.
Når han først har hatt det moro,
➼ Han sender $ ATOM ut til en kjede av andre lommebøker.
Det er vanskelig å si på https://t.co/o02L0T5QtQ skanner hvor mye det var totalt, men jeg sporet lommebøker og... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Juni 8, 2022
Osmose identifiserer angripere; FireStake kommer frem
Fire angripere er identifisert som de viktigste gjerningsmennene som stjal over 95 % av det utnyttede beløpet, ifølge en Twitter-tråd av Osmosis. To av de fire angriperne har meldt seg frivillig til å returnere alle de stjålne midlene. De to andre har transaksjoner til og fra sentraliserte børser, som har blitt varslet for å identifisere gjerningsmennene og få tilbake midlene.
Oppdatering:
– Det er identifisert 4 individer som står for 95 %+ av realisert utnyttelsesbeløp.
– 2 av de 4 personene har proaktivt uttrykt intensjon om å returnere det utnyttede beløpet i sin helhet.
– Osmose? (@osmosiszone) Juni 8, 2022
En knapt time etter Osmosis' Tweet angående angriperne, kom FireStake - en validator i Cosmos-økosystemet - frem i en Tweet og innrømmet å ha utnyttet LP-feilen, men bemerket at de prøver å "sette ting i orden" og samarbeider med Osmosis-teamet å returnere de utnyttede midlene.
Kjære @osmosiszone samfunnet, mange av dere vet om Osmosis LP-feilen som oppstod i går.
I vantro på at det er ekte, to medlemmer av @fire_stake begynte å teste for å se om feilen eksisterte, testing vokste til et midlertidig forfall etter god dømmekraft, og...
— FireStake | Validator (@stake_fire) Juni 8, 2022
i prosessen klarte vi å konvertere $226 USD til ~$2M. Vi tenkte på familiens fremtid, og ikke fremtiden til samfunnet vårt.
Kort tid etter at vi gjorde det, stresset vi hele natten om hvordan vi kan ordne opp. Vi jobber for tiden med Osmose-teamet...
— FireStake | Validator (@stake_fire) Juni 8, 2022
å returnere midlene så snart som mulig. Vi jobber også med Osmose-teamet for å oppmuntre alle andre som utnyttet denne situasjonen til å komme frem og returnere penger.
Du er velkommen til å komme til oss, så kan vi hjelpe til å fungere som et bindeledd. Vi må gjøre dette riktig.
— FireStake | Validator (@stake_fire) Juni 8, 2022
Kilde: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/