Birželio 7 dieną kažkas paskelbė a reddit sriegis kurį vėliau ištrynė forumo moderatorius. Gijoje buvo rimtas teiginys – Osmosis tinkle buvo klaida, kuri leido likvidumo tiekėjams užsidirbti papildomus 50% pridedant ir pašalinant likvidumą.
Osmosas (osmosas) yra „Cosmos“ ekosistemos blokų grandinė, siūlanti decentralizuotus mainus ir piniginę.
Teiginys atrodė neįtikėtinas, kol tinklas nebuvo sustabdytas dėl avarinės priežiūros.
Sveiki @osmosiszone draugai. Nuo bloko Nr. 4713064 Osmoso grandinė buvo sustabdyta dėl avarinės priežiūros.
Šiuo metu Osmosis DEX ir Piniginė neveikia, kol nebus baigtas remontas.
?Prašome palaukti, kol kūrėjai dirba, kad sugrąžintų mus.
- ??EmperorOsmo (Hathor Nodes)?? (@Flowslikeosmo) Birželio 8, 2022
Nors Osmoso komanda tuo metu nepripažino savo išnaudojimo, sustojimas įvyko po to, kai keli užpuolikai išleido apie 5 mln.
Likvidumo baseinai NEBUVO „visiškai nusausinti“.
Kūrėjai taiso klaidą, nustato nuostolių dydį (tikriausiai iki 5 mln. USD) ir stengiasi atkurti.
Daugiau informacijos ateis. https://t.co/WOu7MMgSUM
– Osmosas? (@osmosiszone) Birželio 8, 2022
Osmoso komanda nustatė klaidą ir sukūrė pataisą, kuri yra išbandoma prieš įdiegiant. Kūrėjai vis dar stengiasi iš naujo paleisti tinklą.
Atnaujinimas: klaida buvo nustatyta ir parašyta pataisa.
Atliekama daugiau bandymų, kol tikrintojams rekomenduojama koordinuoti paleidimą iš naujo.
Išsami ataskaita apie klaidas ir veiksmų planas, kad artimiausiomis dienomis būtų atliktas išsamesnis ir tinkamesnis grandinės atnaujinimų bandymas iki galo. https://t.co/DjJMOEQxrT
– Osmosas? (@osmosiszone) Birželio 8, 2022
Taigi, štai kaip užpuolikai sugebėjo išnaudoti tinklą, kaip rodo veikla grandinėje:
„Twitter“ vartotojas savo gijoje nurodė, kad vienas iš užpuolikų padidino likvidumą USD monetos pavidalu (USDC) ir OSMO. Tada užpuolikas mainais gavo GAMM LP žetonus, kurie atspindėjo jų dalį telkinyje. Šie nusikaltėliai nedelsdami atsiėmė GAMM LP žetonus ir taip gavo 50% daugiau nei USDC ir OSMO suma, kuri buvo pridėta kaip likvidumas.
Pirmiausia, matyt, subredditeris tai iškvietė kurį laiką – taigi, rekvizitas jiems.
➼ Taigi piniginė (osmo1hq) yra išnaudotoja.
Pirmiausia jis suteikia Likvidumą forma USDC (Aš tai patikrinau šaltinio kode) + $ OSMO
Tada jis gauna $GAMM LP žetonai mainais. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Birželio 8, 2022
Tada nusikaltėlis iškeitė OSMO žetonus į ATOM ir persiuntė juos į kitas pinigines. Tas pats procesas kartojosi vėl ir vėl – kiekvieną kartą užpuolikas gaudavo 50% daugiau žetonų.
Didžioji dalis OSMO pajamų buvo pakeista į ATOM ir pervesta į piniginę, kurioje yra 9 milijonų dolerių vertės ATOM žetonai, rašoma „Twitter“ tinkle. Tačiau šioje piniginėje nebuvo USDC žetonų, kuriuos užpuolikas gavo išnaudodamas klaidą – USDC žetonai nebuvo nei pakeisti, nei perkelti, pridūrė gija.
Kai jis linksminosi,
➼ Jis siunčia USD ATOM išeina į kitų piniginių grandinę.
Sunku pasakyti ant https://t.co/o02L0T5QtQ skaitytuvas, kiek iš viso buvo, bet aš sekiau pinigines ir… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Birželio 8, 2022
Osmosas nustato užpuolikus; Atsiranda FireStake
Keturi užpuolikai buvo nustatyti kaip pagrindiniai nusikaltėliai, pavogę daugiau nei 95% išnaudoto kiekio, teigiama „Osmosis“ socialiniame tinkle „Twitter“. Du iš keturių užpuolikų pasisiūlė grąžinti visas pavogtas lėšas. Kiti du turi sandorius į ir iš centralizuotų biržų, kurios buvo įspėtos, kad nustatytų nusikaltėlius ir atgautų lėšas.
Paskutinis atnaujinimas:
– Nustatyti 4 asmenys, kuriems tenka 95%+ realaus išnaudojimo kiekio.
– 2 iš 4 asmenų aktyviai pareiškė ketinimą grąžinti visą išnaudotą kiekį.
– Osmosas? (@osmosiszone) Birželio 8, 2022
Praėjus vos valandai po Osmosis „Twitter“ pranešimo apie užpuolikus, „FireStake“ – „Cosmos“ ekosistemos tikrintojas – prisistatė „Twitter“ žinutėje ir pripažino, kad išnaudojo LP klaidą, tačiau pažymėjo, kad bando „sutvarkyti reikalus“ ir dirbti su Osmoso komanda. grąžinti išnaudotas lėšas.
Brangus @osmosiszone bendruomenės, daugelis iš jūsų žinote apie Osmosis LP klaidą, kuri įvyko vakar.
Netikėdami, kad tai tikra, du nariai @fire_stake pradėjo tikrinti, ar klaida egzistuoja, testavimas peraugo į laikiną galiojimo laiką, ir...
— FireStake | Validatorius (@stake_fire) Birželio 8, 2022
procese mums pavyko konvertuoti 226 USD į ~ 2 mln. USD. Galvojome apie savo šeimos, o ne apie bendruomenės ateitį.
Netrukus po to visą naktį akcentavome, kaip galime viską sutvarkyti. Šiuo metu dirbame su Osmoso komanda…
— FireStake | Validatorius (@stake_fire) Birželio 8, 2022
kuo greičiau grąžinti lėšas. Taip pat dirbame su Osmoso komanda, siekdami paskatinti visus kitus, kurie pasinaudojo šia situacija, prisistatyti ir grąžinti lėšas.
Kviečiame atvykti pas mus ir mes galime padėti veikti kaip ryšininkai. Turime tai padaryti teisingai.
— FireStake | Validatorius (@stake_fire) Birželio 8, 2022
Šaltinis: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/