Den 7 juni postade någon en Reddit tråd som senare raderades av forumets moderator. Tråden innehöll ett allvarligt påstående – Osmosis-nätverket hade en bugg som gjorde det möjligt för likviditetsleverantörer att tjäna 50 % extra när de lade till och ta ut likviditet.
osmos (OSMO) är en blockkedja i Cosmos ekosystem som erbjuder en decentraliserad börs och plånbok.
Påståendet verkade osannolikt tills nätet stoppades för akut underhåll.
Hej @osmosiszone vänner. Från och med block #4713064 har Osmosis-kedjan stoppats för akut underhåll.
För närvarande fungerar Osmosis DEX och Wallet inte, tills reparationerna är klara.
?Var snäll och vänta medan utvecklarna arbetar för att få oss tillbaka.
— ??EmperorOsmo(Hathor Nodes)?? (@Flowslikeosmo) Juni 8, 2022
Även om Osmosis-teamet inte erkände en exploatering vid den tiden, kom stoppet efter att några angripare tappat runt 5 miljoner dollar.
Likviditetspooler var INTE "fullständigt dränerade".
Utvecklare fixar felet, avgränsar storleken på förlusterna (troligen inom intervallet ~$5 miljoner) och arbetar med återställning.
Mer info kommer. https://t.co/WOu7MMgSUM
— Osmos? (@osmosiszone) Juni 8, 2022
Osmosis-teamet har identifierat felet och utvecklat en patch som testas innan installationen. Utvecklare arbetar fortfarande med att starta om nätverket.
Uppdatering: Felet har identifierats och en patch skrivits.
Fler tester pågår innan validerare rekommenderas för att koordinera en omstart.
Fullständig buggrapport och handlingsplan för mer grundliga och korrekta tester av kedjeuppgraderingar kommer att följa under de kommande dagarna. https://t.co/DjJMOEQxrT
— Osmos? (@osmosiszone) Juni 8, 2022
Så här är hur angriparna lyckades utnyttja nätverket, vilket visas av aktivitet i kedjan:
En Twitter-användare påpekade i en tråd att en av angriparna lade till likviditet i form av USD Coin (USDC) och OSMO. Angriparen fick sedan GAMM LP-tokens i gengäld, som representerade deras andel i poolen. Dessa förövare drog omedelbart tillbaka GAMM LP-tokensen och fick därmed 50 % extra än mängden USDC och OSMO som hade lagts till som likviditet.
Först och främst, tydligen sa en subredditer detta för ett tag sedan - så rekvisita till dem.
➼ Så plånboken (osmo1hq) är exploatören.
Först tillhandahåller han Likviditet i form av $ USDC (Jag verifierade detta i källkoden) + $ OSMO
Han tar då emot $GAMM LP-polletter i gengäld. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Juni 8, 2022
Gärningsmannen bytte sedan OSMO-polletterna mot ATOM och skickade dem till andra plånböcker. Samma process upprepades om och om igen - varje gång angriparen fick 50 % fler tokens.
De flesta av intäkterna i OSMO byttes mot ATOM och överfördes till en plånbok som innehåller ATOM-tokens till ett värde av 9 miljoner dollar, sa Twitter-tråden. Den här plånboken innehöll dock inte de USDC-tokens som angriparen fick genom att utnyttja buggen - USDC-tokens varken byttes ut eller överfördes, tillade tråden.
När han har haft roligt,
➼ Han skickar $ ATOM ut till en kedja av andra plånböcker.
Det är svårt att säga på https://t.co/o02L0T5QtQ scanner hur mycket det var totalt, men jag spårade plånböckerna och... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Juni 8, 2022
Osmos identifierar angripare; FireStake kommer fram
Fyra angripare har identifierats som de viktigaste gärningsmännen som stal över 95 % av den utnyttjade mängden, enligt en Twitter-tråd av Osmosis. Två av de fyra angriparna har anmält sig frivilligt för att lämna tillbaka alla stulna pengar. De andra två har transaktioner till och från centraliserade börser, som har larmats för att identifiera gärningsmännen och få tillbaka pengarna.
Uppdatering:
– 4 individer har identifierats som står för 95 %+ av det realiserade exploateringsbeloppet.
– 2 av 4 individer har proaktivt uttryckt avsikt att återbetala det utnyttjade beloppet i sin helhet.
— Osmos? (@osmosiszone) Juni 8, 2022
Knappt en timme efter Osmosis Tweet angående angriparna kom FireStake – en validator i Cosmos ekosystem – fram i en Tweet och erkände att de hade utnyttjat LP-felet men noterade att de försöker "ställa till rätta" och arbetar med Osmosis-teamet att återlämna de utnyttjade medlen.
Dear @osmosiszone många av er känner till Osmosis LP-felet som inträffade igår.
I misstro att det är verkligt, två medlemmar av @fire_stake började testa för att se om buggen existerade, testningen växte till ett tillfälligt förfall efter gott omdöme, och...
— FireStake | Validerare (@stake_fire) Juni 8, 2022
i processen lyckades vi konvertera $226 USD till ~$2M. Vi tänkte på vår familjs framtid och inte på framtiden för vårt samhälle.
Kort efter att vi gjort det stressade vi hela natten om hur vi kan ställa till rätta. Vi arbetar för närvarande med Osmosis-teamet...
— FireStake | Validerare (@stake_fire) Juni 8, 2022
att återbetala pengarna så snart som möjligt. Vi arbetar också med Osmosis-teamet för att uppmuntra alla andra som utnyttjade den här situationen att vänligen komma fram och återbetala pengar.
Du är välkommen att komma till oss, så kan vi hjälpa dig att fungera som en kontaktperson. Vi måste göra detta rätt.
— FireStake | Validerare (@stake_fire) Juni 8, 2022
Källa: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/