7 Haziran'da birisi bir mesaj gönderdi. reddit iplik bu daha sonra forum moderatörü tarafından silindi. İplik ciddi bir iddia içeriyordu - Osmosis ağı, likidite sağlayıcılarının likidite eklerken ve çekerken ekstra %50 kazanmalarına izin veren bir hataya sahipti.
ozmoz (OSMO), Cosmos ekosisteminde merkezi olmayan bir değişim ve cüzdan sunan bir blok zinciridir.
Ağ acil bakım için durdurulana kadar iddia imkansız görünüyordu.
Merhaba @osmosiszone Arkadaş. Blok #4713064 itibariyle, Osmoz zinciri acil bakım için durdurulmuştur.
Şu anda, Osmosis DEX ve Cüzdan, onarımlar tamamlanana kadar çalışmaz.
?Geliştiriciler bizi geri almak için çalışırken lütfen beklemede kalın.
— ??İmparator Osmo(Hathor Düğümleri)?? (@Flowslikeosmo) Haziran 8, 2022
Osmosis ekibi o sırada bir açıktan yararlanmayı kabul etmese de, birkaç saldırganın yaklaşık 5 milyon dolar harcamasının ardından durdurma gerçekleşti.
Likidite havuzları “tamamen boşaltılmış” DEĞİLDİR.
Geliştiriciler hatayı düzeltiyor, kayıpların boyutunu belirliyor (muhtemelen ~ 5 milyon dolar aralığında) ve kurtarma üzerinde çalışıyor.
Gelmek için daha fazla bilgi. https://t.co/WOu7MMgSUM
— Osmoz? (@ozmozzon) Haziran 8, 2022
Osmosis ekibi hatayı tespit etti ve dağıtımdan önce test edilen bir yama geliştirdi. Geliştiriciler hala ağı yeniden başlatmak için çalışıyor.
Güncelleme: Hata tespit edildi ve bir yama yazıldı.
Doğrulayıcıların yeniden başlatmayı koordine etmeleri önerilmeden önce daha fazla test yapılıyor.
Önümüzdeki günlerde takip edilecek zincir yükseltmelerinin daha kapsamlı ve uygun uçtan uca test edilmesi için tam hata raporu ve eylem planı. https://t.co/DjJMOEQxrT
— Osmoz? (@ozmozzon) Haziran 8, 2022
Zincir içi etkinlikte gösterildiği gibi, saldırganlar ağdan şu şekilde yararlanmayı başardılar:
Bir Twitter kullanıcısı, saldırganlardan birinin USD Coin şeklinde likidite eklediğine dikkat çekti (USDC) ve OSMO. Saldırgan daha sonra havuzdaki payını temsil eden GAMM LP jetonlarını aldı. Bu failler, GAMM LP jetonlarını hemen geri çektiler ve böylece likidite olarak eklenen USDC ve OSMO miktarından %50 daha fazla kazandılar.
İlk olarak, görünüşe göre bir alt düzenleyici bunu bir süre önce seslendirdi - bu yüzden onlara destek.
➼ Yani cüzdan (osmo1hq) istismarcıdır.
Önce şu şekilde Likidite sağlar $ USDC (Bunu kaynak kodunda doğruladım) + $OSMO
o zaman alır $GAMM Karşılığında LP jetonları. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Haziran 8, 2022
Fail daha sonra OSMO jetonlarını ATOM ile değiştirdi ve diğer cüzdanlara gönderdi. Aynı işlem defalarca tekrarlandı - saldırganın her seferinde %50 daha fazla jeton kazandığında.
Twitter iş parçacığı, OSMO'daki gelirlerin çoğunun ATOM için takas edildiğini ve 9 milyon dolar değerinde ATOM jetonu içeren bir cüzdana aktarıldığını söyledi. Bununla birlikte, bu cüzdan, saldırganın hatadan yararlanarak elde ettiği USDC tokenlerini içermiyordu - USDC tokenleri ne takas edildi ne de transfer edildi, iş parçacığı eklendi.
Bir kez eğlendi,
➼ gönderir $ ATOM diğer cüzdanlardan oluşan bir zincire.
üzerinde anlatmak zor https://t.co/o02L0T5QtQ tarayıcı toplamda ne kadardı, ama cüzdanları takip ettim ve… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Haziran 8, 2022
Osmoz saldırganları tanımlar; FireStake ortaya çıkıyor
Osmosis'in Twitter mesajına göre, istismar edilen miktarın %95'inden fazlasını çalan kilit failler olarak dört saldırgan tespit edildi. Dört saldırgandan ikisi, çalınan fonların tamamını iade etmek için gönüllü oldu. Diğer ikisi, failleri tespit etmek ve fonları geri almak için uyarılmış merkezi borsalara ve borsalardan işlemlere sahip.
Güncelleme:
– Gerçekleşen istismar miktarının %4'inden fazlasını oluşturan 95 kişi tespit edildi.
– 2 kişiden 4'si, istismar edilen miktarın tamamını iade etme niyetini proaktif bir şekilde ifade etmiştir.
— Osmoz? (@ozmozzon) Haziran 8, 2022
Osmosis'in saldırganlarla ilgili Tweet'inden sadece bir saat sonra, Cosmos ekosisteminde bir doğrulayıcı olan FireStake, bir Tweette öne çıktı ve LP hatasını istismar ettiğini kabul etti, ancak "her şeyi düzeltmeye" çalıştıklarını ve Osmosis ekibiyle birlikte çalıştıklarını kaydetti. sömürülen fonları iade etmek için.
Sayın @osmosiszone topluluk, birçoğunuz dün meydana gelen Osmosis LP hatasını biliyorsunuzdur.
Gerçek olduğuna inanmayarak, iki üye @fire_stake hatanın var olup olmadığını görmek için test etmeye başladı, testler iyi muhakemede geçici bir gecikmeye dönüştü ve…
— FireStake | Doğrulayıcı (@stake_fire) Haziran 8, 2022
bu süreçte 226 USD'yi ~ 2 milyon USD'ye çevirmeyi başardık. Topluluğumuzun geleceğini değil, ailemizin geleceğini düşünüyorduk.
Bunu yaptıktan kısa bir süre sonra, gece boyunca işleri nasıl düzeltebileceğimizi vurguladık. Şu anda Osmosis ekibiyle çalışıyoruz…
— FireStake | Doğrulayıcı (@stake_fire) Haziran 8, 2022
fonları mümkün olan en kısa sürede iade etmek. Ayrıca, bu durumdan yararlanan herkesi öne çıkıp paralarını iade etmeye teşvik etmek için Osmosis ekibiyle birlikte çalışıyoruz.
Bize gelebilirsin, biz de irtibat görevlisi olarak hareket etmemize yardımcı olabiliriz. Bunu düzeltmemiz gerekiyor.
— FireStake | Doğrulayıcı (@stake_fire) Haziran 8, 2022
Kaynak: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/