Den 7. juni postede nogen en Reddit tråd som senere blev slettet af forumets moderator. Tråden indeholdt en alvorlig påstand - Osmosis-netværket havde en fejl, der gjorde det muligt for likviditetsudbydere at tjene 50% ekstra, når de tilføjede og hævede likviditet.
Osmose (Osmo) er en blockchain i Cosmos-økosystemet, der tilbyder en decentral udveksling og tegnebog.
Påstanden virkede usandsynlig, indtil netværket blev standset for nødvedligeholdelse.
Hej @osmosiszone venner. Fra blok #4713064 er Osmose-kæden blevet standset for nødvedligeholdelse.
På dette tidspunkt er Osmosis DEX og Wallet ubrugelige, indtil reparationerne er afsluttet.
?Stand venligst forbi, mens udviklerne arbejder på at få os tilbage.
— ??EmperorOsmo(Hathor Nodes)?? (@Flowslikeosmo) 8. Juni, 2022
Selvom Osmosis-holdet ikke anerkendte en udnyttelse på det tidspunkt, kom stoppet, efter at et par angribere havde drænet omkring 5 millioner dollars.
Likviditetspuljer var IKKE "fuldstændig drænet".
Udviklere retter fejlen, måler størrelsen af tab (sandsynligvis i størrelsesordenen ~$5 mio.) og arbejder på gendannelse.
Mere info kommer. https://t.co/WOu7MMgSUM
- Osmose? (@osmosiszone) 8. Juni, 2022
Osmosis-teamet har identificeret fejlen og udviklet en patch, der testes før implementering. Udviklere arbejder stadig på at genstarte netværket.
Opdatering: Fejlen er blevet identificeret og en patch skrevet.
Flere test er i gang, før validatorer anbefales at koordinere en genstart.
Fuldstændig fejlrapport og handlingsplan for mere grundig og korrekt ende-til-ende-test af kædeopgraderinger følger i de kommende dage. https://t.co/DjJMOEQxrT
- Osmose? (@osmosiszone) 8. Juni, 2022
Så dette er hvordan angriberne formåede at udnytte netværket, som vist ved on-chain aktivitet:
En Twitter-bruger påpegede i en tråd, at en af angriberne tilføjede likviditet i form af USD Coin (USDC) og OSMO. Angriberen modtog derefter GAMM LP-tokens til gengæld, som repræsenterede deres andel i puljen. Disse gerningsmænd trak straks GAMM LP-tokenserne tilbage og fik derved 50 % ekstra end mængden af USDC og OSMO, der var blevet tilføjet som likviditet.
Først og fremmest sagde en subredditer tilsyneladende dette for et stykke tid tilbage - så rekvisitter til dem.
➼ Så tegnebogen (osmo1hq) er udnytteren.
Først giver han Likviditet i form af $ USDC (Jeg bekræftede dette i kildekoden) + $ OSMO
Så modtager han $GAMM LP-poletter til gengæld. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) 8. Juni, 2022
Gerningsmanden byttede derefter OSMO-tokenserne ud med ATOM og sendte dem til andre tegnebøger. Den samme proces blev gentaget igen og igen - hver gang angriberen fik 50 % flere tokens.
Det meste af indtægterne i OSMO blev byttet til ATOM og overført til en tegnebog, der indeholder ATOM-tokens til en værdi af $9 millioner, sagde Twitter-tråden. Denne pung indeholdt dog ikke de USDC-tokens, som angriberen fik ved at udnytte fejlen - USDC-tokenserne blev hverken byttet eller overført, tilføjede tråden.
Når han har haft det sjovt,
➼ Han sender $ ATOM ud til en kæde af andre tegnebøger.
Det er svært at sige på https://t.co/o02L0T5QtQ scanner, hvor meget det var i alt, men jeg sporede tegnebøgerne og... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) 8. Juni, 2022
Osmose identificerer angribere; FireStake kommer frem
Fire angribere er blevet identificeret som de vigtigste gerningsmænd, der stjal over 95% af den udnyttede mængde, ifølge en Twitter-tråd af Osmosis. To ud af de fire angribere har meldt sig frivilligt til at returnere alle de stjålne midler. De to andre har transaktioner til og fra centraliserede børser, som er blevet alarmeret for at identificere gerningsmændene og inddrive midlerne.
Update:
– Der er identificeret 4 personer, der tegner sig for 95 %+ af det realiserede udnyttelsesbeløb.
– 2 ud af de 4 personer har proaktivt udtrykt hensigt om at returnere det udnyttede beløb fuldt ud.
- Osmose? (@osmosiszone) 8. Juni, 2022
Knap en time efter Osmosis' Tweet vedrørende angriberne, kom FireStake - en validator i Cosmos-økosystemet - frem i et Tweet og indrømmede at have udnyttet LP-fejlen, men bemærkede, at de forsøger at "rette tingene i orden" og arbejde med Osmosis-teamet at returnere de udnyttede midler.
Kære @osmosiszone fællesskab, mange af jer kender til Osmosis LP-fejlen, der opstod i går.
I vantro til at det er ægte, to medlemmer af @ild_stake begyndte at teste for at se, om fejlen eksisterede, test voksede til et midlertidigt bortfald efter god dømmekraft, og...
— FireStake | Validator (@stake_fire) 8. Juni, 2022
i processen lykkedes det os at konvertere $226 USD til ~$2M. Vi tænkte på vores families fremtid og ikke fremtiden for vores samfund.
Kort efter at have gjort det, understregede vi hele natten om, hvordan vi kan rette tingene op. Vi arbejder i øjeblikket med Osmose-teamet...
— FireStake | Validator (@stake_fire) 8. Juni, 2022
at returnere midlerne hurtigst muligt. Vi arbejder også sammen med Osmosis-teamet for at opfordre alle andre, der har udnyttet denne situation, til at møde op og returnere penge.
Du er velkommen til at komme til os, og vi kan hjælpe med at fungere som bindeled. Vi er nødt til at gøre dette rigtigt.
— FireStake | Validator (@stake_fire) 8. Juni, 2022
Kilde: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/