Dana 7. lipnja netko je objavio a Reddit nit koji je kasnije izbrisao moderator foruma. Nit je sadržavala ozbiljnu tvrdnju — mreža Osmosis imala je grešku koja je omogućila pružateljima likvidnosti da zarade dodatnih 50% prilikom dodavanja i povlačenja likvidnosti.
osmoza (Osmo) je blockchain u ekosustavu Cosmos koji nudi decentraliziranu razmjenu i novčanik.
Tvrdnja se činila nevjerojatnom sve dok mreža nije zaustavljena zbog hitnog održavanja.
Bok @osmosiszone prijatelji. Od bloka #4713064 lanac osmoze je zaustavljen radi hitnog održavanja.
U ovom trenutku Osmosis DEX i novčanik nisu u funkciji, dok se popravci ne dovrše.
?Molim vas, budite spremni dok programeri rade da nas vrate.
— ??EmperorOsmo(Hathor čvorovi)?? (@Flowslikeosmo) Lipnja 8, 2022
Iako tim Osmosisa tada nije priznao eksploataciju, do zaustavljanja je došlo nakon što je nekoliko napadača izvuklo oko 5 milijuna dolara.
Pulovi likvidnosti NISU “potpuno isušeni”.
Razvijači popravljaju grešku, određuju veličinu gubitaka (vjerojatno u rasponu od ~5 milijuna dolara) i rade na oporavku.
Više informacija slijedi. https://t.co/WOu7MMgSUM
— Osmoza? (@osmosiszone) Lipnja 8, 2022
Osmosis tim je identificirao grešku i razvio zakrpu koja se testira prije implementacije. Programeri još uvijek rade na ponovnom pokretanju mreže.
Ažuriranje: Greška je identificirana i napisana je zakrpa.
U tijeku je još testiranja prije nego što se preporuča validatorima za koordinaciju ponovnog pokretanja.
Potpuno izvješće o greškama i akcijski plan za temeljitije i ispravnije testiranje nadogradnje lanca od kraja do kraja koje će uslijediti u narednim danima. https://t.co/DjJMOEQxrT
— Osmoza? (@osmosiszone) Lipnja 8, 2022
Dakle, ovako su napadači uspjeli iskoristiti mrežu, što pokazuje aktivnost na lancu:
Korisnik Twittera istaknuo je u temi da je jedan od napadača dodao likvidnost u obliku USD Coin (USDC) i OSMO. Napadač je zatim zauzvrat dobio GAMM LP tokene, koji su predstavljali njihov udio u skupu. Ti su počinitelji odmah povukli GAMM LP tokene, čime su dobili 50% više od iznosa USDC i OSMO koji su dodani kao likvidnost.
Kao prvo, očito je subredditer ovo prozvao prije nekog vremena - pa im je u prilog.
➼ Dakle, novčanik (osmo1hq) je eksploatator.
Prvo osigurava Likvidnost u obliku $ USDC (Provjerio sam to u izvornom kodu) + $ OSMO
Zatim prima $GAMM LP žetoni zauzvrat. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Lipnja 8, 2022
Počinitelj je zatim zamijenio OSMO tokene za ATOM i poslao ih u druge novčanike. Isti postupak se ponavljao iznova i iznova — svaki put napadač je dobio 50% više tokena.
Većina prihoda u OSMO-u zamijenjena je za ATOM i prebačena u novčanik koji sadrži ATOM tokene u vrijednosti od 9 milijuna dolara, stoji na Twitteru. Međutim, ovaj novčanik nije uključivao USDC tokene koje je napadač stekao iskorištavanjem buga - USDC tokeni nisu niti zamijenjeni niti preneseni, dodaje se u niti.
Kad se jednom zabavlja,
➼ On šalje $ ATOM na lanac drugih novčanika.
Teško je reći na https://t.co/o02L0T5QtQ skener koliko je to ukupno bilo, ali sam pratio novčanike i... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Lipnja 8, 2022
Osmoza identificira napadače; FireStake izlazi
Četiri napadača identificirana su kao ključni počinitelji koji su ukrali više od 95% iskorištenog iznosa, navodi Osmosis na Twitteru. Dva od četiri napadača dobrovoljno su se javila da vrate kompletna ukradena sredstva. Ostale dvije imaju transakcije na centralizirane burze i iz njih, koje su upozorene da identificiraju počinitelje i povrate sredstva.
Update:
– Identificirane su 4 osobe koje čine 95%+ ostvarenog iznosa eksploatacije.
– 2 od 4 osobe proaktivno su izrazile namjeru da u cijelosti vrate iskorišteni iznos.
— Osmoza? (@osmosiszone) Lipnja 8, 2022
Jedva sat vremena nakon Osmosisovog Tweeta o napadačima, FireStake - validator u Cosmos ekosustavu - javio se u Tweetu i priznao da je iskorištavao LP bug, ali je primijetio da pokušavaju "ispraviti stvari" i surađivati s Osmosis timom vratiti iskorištena sredstva.
Drag @osmosiszone zajednice, mnogi od vas znaju za grešku Osmosis LP koja se dogodila jučer.
U nevjerici da je to stvarno, dva člana @vatreni_ulog počeo testirati da vidi postoji li bug, testiranje je preraslo u privremeni propust u dobroj prosudbi i...
— Vatreni kolac | Validator (@stake_fire) Lipnja 8, 2022
u tom procesu uspjeli smo pretvoriti 226 USD u ~2 milijuna USD. Razmišljali smo o budućnosti naše obitelji, a ne budućnosti naše zajednice.
Ubrzo nakon što smo to učinili, cijelu smo noć naglašavali kako stvari možemo ispraviti. Trenutno radimo s Osmosis timom…
— Vatreni kolac | Validator (@stake_fire) Lipnja 8, 2022
da što prije vrate sredstva. Također radimo s Osmosis timom kako bismo potaknuli sve druge koji su iskoristili ovu situaciju da se jave i vrate sredstva.
Možete nam doći, a mi vam možemo pomoći da djelujemo kao veza. Moramo ovo ispraviti.
— Vatreni kolac | Validator (@stake_fire) Lipnja 8, 2022
Izvor: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/