Më 7 qershor, dikush postoi një Reddit fije që më vonë u fshi nga moderatori i forumit. Fillimi përmbante një pretendim serioz - rrjeti Osmosis kishte një gabim që lejonte ofruesit e likuiditetit të fitonin një 50% shtesë kur shtonin dhe tërhiqnin likuiditet.
Osmozë (Osmo) është një blockchain në ekosistemin Cosmos që ofron një shkëmbim dhe portofol të decentralizuar.
Pretendimi dukej i pamundur derisa rrjeti u ndal për mirëmbajtje emergjente.
Përshëndetje @osmosiszone miq. Që nga blloku #4713064 zinxhiri Osmozë është ndalur për mirëmbajtje emergjente.
Në këtë kohë, Osmosis DEX dhe Portofoli nuk funksionojnë derisa të përfundojnë riparimet.
?Ju lutemi qëndroni pranë teksa zhvilluesit punojnë për të na rikthyer.
— ??EmperorOsmo(Nyjet Hathor)?? (@Flowslikeosmo) Qershor 8, 2022
Megjithëse ekipi i Osmosis nuk pranoi një shfrytëzim në atë kohë, ndalimi erdhi pasi disa sulmues shpenzuan rreth 5 milionë dollarë.
Pishinat e likuiditetit NUK ishin "të kulluar plotësisht".
Zhvilluesit po rregullojnë defektin, po përcaktojnë madhësinë e humbjeve (me gjasë në rangun prej ~ 5 milion dollarë) dhe po punojnë për rikuperimin.
Më shumë informacione për të ardhur. https://t.co/WOu7MMgSUM
- Osmozë? (@osmosiszone) Qershor 8, 2022
Ekipi Osmosis ka identifikuar defektin dhe ka zhvilluar një patch që po testohet përpara vendosjes. Zhvilluesit janë ende duke punuar për rifillimin e rrjetit.
Përditësimi: Defekti është identifikuar dhe është shkruar një rregullim.
Më shumë testime janë duke u zhvilluar përpara se të rekomandohen vërtetuesit për të koordinuar një rinisje.
Raporti i plotë i gabimeve dhe plani i veprimit për një testim më të plotë dhe të duhur nga fundi në fund të përmirësimeve të zinxhirit që do të pasojnë në ditët në vijim. https://t.co/DjJMOEQxrT
- Osmozë? (@osmosiszone) Qershor 8, 2022
Pra, kjo është mënyra se si sulmuesit arritën të shfrytëzonin rrjetin, siç tregohet nga aktiviteti në zinxhir:
Një përdorues i Twitter vuri në dukje në një temë se një nga sulmuesit shtoi likuiditet në formën e monedhës USD (USDC) dhe OSMO. Sulmuesi më pas mori në këmbim tokenat GAMM LP, të cilat përfaqësonin pjesën e tyre në grup. Këta autorë tërhoqën menjëherë tokenat GAMM LP, duke fituar në këtë mënyrë 50% ekstra se shuma e USDC dhe OSMO që ishin shtuar si likuiditet.
Së pari, me sa duket një subredditer e thirri këtë disa kohë më parë - kështu që atyre u mbështet.
➼ Pra portofoli (osmo1hq) është shfrytëzuesi.
Së pari ai siguron Likuiditet në formën e $ USDC (Këtë e verifikova në kodin burimor) + $ OSMO
Më pas ai merr $GAMM Shenjat LP në kthim. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Qershor 8, 2022
Më pas autori ndërroi tokenat OSMO me ATOM dhe i dërgoi në kuletat e tjera. I njëjti proces u përsërit vazhdimisht - çdo herë që sulmuesi fitonte 50% më shumë token.
Shumica e të ardhurave në OSMO u shkëmbyen me ATOM dhe u transferuan në një portofol që përmban 9 milionë dollarë token ATOM, thuhej në rrjetin Twitter. Megjithatë, kjo portofol nuk përfshinte argumentet USDC që sulmuesi fitoi duke shfrytëzuar defektin – argumentet USDC as nuk u shkëmbyen dhe as nuk u transferuan, shtoi filli.
Pasi ai u argëtua,
➼ Ai dërgon $ ATOM në një zinxhir kuletash të tjera.
Është e vështirë të thuhet për https://t.co/o02L0T5QtQ skaner sa ishte në total, por gjurmova kuletat dhe… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Qershor 8, 2022
Osmoza identifikon sulmuesit; FireStake del përpara
Katër sulmues janë identifikuar si autorët kryesorë që vodhën mbi 95% të shumës së shfrytëzuar, sipas një postimi në Twitter nga Osmosis. Dy nga katër sulmuesit kanë dalë vullnetarë për të kthyer të gjitha fondet e vjedhura. Dy të tjerët kanë transaksione në dhe nga bursat e centralizuara, të cilat janë alarmuar për të identifikuar autorët dhe për të rikuperuar fondet.
Update:
– Janë identifikuar 4 persona që përbëjnë 95%+ të shumës së realizuar të shfrytëzimit.
– 2 nga 4 individët kanë shprehur në mënyrë proaktive synimin për kthimin e plotë të shumës së shfrytëzuar.
- Osmozë? (@osmosiszone) Qershor 8, 2022
Mezi një orë pas Tweet-it të Osmosis në lidhje me sulmuesit, FireStake - një verifikues në ekosistemin Cosmos - doli në një Tweet dhe pranoi se kishte shfrytëzuar gabimin e LP-së, por vuri në dukje se ata po përpiqeshin t'i "vendosnin gjërat në rregull" dhe të punonin me ekipin e Osmosis për të kthyer fondet e shfrytëzuara.
I dashur @osmosiszone komuniteti, shumë prej jush e dinë për defektin Osmosis LP që ndodhi dje.
Në mosbesim se është e vërtetë, dy anëtarë të @fire_stake filloi testimin për të parë nëse defekti ekzistonte, testimi u shndërrua në një gabim të përkohshëm të gjykimit të mirë dhe…
— FireStake | Vlerësues (@stake_fire) Qershor 8, 2022
në proces, ne arritëm të konvertonim 226 USD në ~ 2 milion dollarë. Ne po mendonim për të ardhmen e familjes sonë dhe jo për të ardhmen e komunitetit tonë.
Menjëherë pasi e bëmë këtë, ne theksuam gjatë gjithë natës se si mund t'i rregullojmë gjërat. Aktualisht jemi duke punuar me ekipin e Osmosis…
— FireStake | Vlerësues (@stake_fire) Qershor 8, 2022
për të kthyer fondet sa më shpejt të jetë e mundur. Ne po punojmë gjithashtu me ekipin e Osmosis për të inkurajuar këdo tjetër që ka përfituar nga kjo situatë që të lutemi të paraqitet dhe të kthejë fondet.
Jeni të mirëpritur të vini tek ne dhe ne mund t'ju ndihmojmë të veprojmë si ndërlidhës. Ne duhet ta rregullojmë këtë.
— FireStake | Vlerësues (@stake_fire) Qershor 8, 2022
Burimi: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/