7 чэрвеня нехта апублікаваў а Reddit нітка які пазней быў выдалены мадэратарам форуму. Паток утрымліваў сур'ёзную прэтэнзію — у сеткі Osmosis была памылка, якая дазваляла пастаўшчыкам ліквіднасці зарабляць дадатковыя 50% пры даданні і вывадзе ліквіднасці.
Осмас (АСМО) - гэта блокчэйн у экасістэме Cosmos, які прапануе дэцэнтралізаваны абмен і кашалёк.
Прэтэнзія ўяўлялася малаверагоднай, пакуль сетка не была спыненая для экстранага тэхнічнага абслугоўвання.
добры дзень @osmosiszone сябры. Па стане на блок № 4713064 ланцуг Osmosis быў спынены для аварыйнага абслугоўвання.
У гэты час Osmosis DEX і Wallet не працуюць, пакуль рамонт не будзе завершаны.
?Калі ласка, чакайце, пакуль распрацоўшчыкі будуць працаваць, каб вярнуць нас.
— ??EmperorOsmo (вузлы Хатхор)?? (@Flowslikeosmo) Чэрвень 8, 2022
Нягледзячы на тое, што каманда Osmosis не прызнала падзвігу ў той час, спыненне адбылося пасля таго, як некалькі зламыснікаў знялі каля 5 мільёнаў долараў.
Пулы ліквіднасці НЕ былі «цалкам асушаныя».
Распрацоўшчыкі выпраўляюць памылку, вызначаюць памер страт (верагодна, у дыяпазоне ~5 мільёнаў долараў) і працуюць над аднаўленнем.
Больш падрабязнай інфармацыі. https://t.co/WOu7MMgSUM
— Осмос? (@osmosiszone) Чэрвень 8, 2022
Каманда Osmosis выявіла памылку і распрацавала патч, які тэстуецца перад разгортваннем. Распрацоўшчыкі ўсё яшчэ працуюць над перазапускам сеткі.
Абнаўленне: памылка была ідэнтыфікаваная і напісаны патч.
Перад тым, як валідатары будуць рэкамендаваны для каардынацыі перазапуску, праводзіцца дадатковае тэставанне.
Поўны справаздачу аб памылках і план дзеянняў для больш дбайнага і правільнага скразнога тэставання абнаўленняў ланцуга, якія будуць праведзены ў бліжэйшыя дні. https://t.co/DjJMOEQxrT
— Осмос? (@osmosiszone) Чэрвень 8, 2022
Вось як зламыснікам удалося выкарыстаць сетку, пра што сведчыць актыўнасць у ланцужку:
Карыстальнік Twitter адзначыў у тэме, што адзін з зламыснікаў дадаў ліквіднасць у выглядзе USD Coin (USDC) і OSMO. Затым зламыснік атрымаў узамен токены GAMM LP, якія прадстаўлялі іх долю ў пуле. Гэтыя злачынцы неадкладна забралі токены GAMM LP, тым самым атрымаўшы на 50% больш, чым колькасць USDC і OSMO, якія былі дададзены ў якасці ліквіднасці.
Па-першае, па-відаць, субрэддытар назваў гэта некаторы час таму - таму рэквізіт ім.
➼ Такім чынам, кашалёк (osmo1hq) - гэта эксплуататар.
Спачатку ён забяспечвае Ліквіднасць у выглядзе $ USDC (Я спраўдзіў гэта ў зыходным кодзе) + $ OSMO
Затым ён атрымлівае $GAMM Узамен токены LP. pic.twitter.com/K3JzrDRPMN
— Андэ #OnChain (@0xLosingMoney) Чэрвень 8, 2022
Затым злачынец памяняў токены OSMO на ATOM і адправіў іх на іншыя кашалькі. Гэты ж працэс паўтараўся зноў і зноў — кожны раз зламыснік атрымліваў на 50% больш токенаў.
Большая частка выручкі ў OSMO была абменена на ATOM і пераведзена на кашалёк, які змяшчае токены ATOM на 9 мільёнаў долараў, гаворыцца ў паведамленні ў Twitter. Аднак гэты кашалёк не ўключаў токены USDC, якія зламыснік атрымаў у выніку выкарыстання памылкі - токены USDC не былі ні замененыя, ні перададзеныя, дадаецца ў патоку.
Як толькі ён павесяліўся,
➼ Ён пасылае $ ATOM на ланцужок іншых кашалькоў.
Цяжка сказаць на https://t.co/o02L0T5QtQ сканер, колькі ўсяго гэта было, але я адсочваў кашалькі і... pic.twitter.com/dchu2pDgQG
— Андэ #OnChain (@0xLosingMoney) Чэрвень 8, 2022
Осмас вызначае зламыснікаў; Выходзіць FireStake
Чатыры зламыснікі былі ідэнтыфікаваныя як асноўныя злачынцы, якія скралі больш за 95% выкарыстанай колькасці, паведамляе Osmosis у Twitter. Двое з чатырох зламыснікаў падахвоціліся вярнуць цалкам выкрадзеныя сродкі. Дзве іншыя здзяйсняюць транзакцыі на цэнтралізаваныя біржы і з іх, якія былі папярэджаны, каб выявіць злачынцаў і вярнуць сродкі.
абнаўленне:
– Выяўлена 4 асобы, на долю якіх прыпадае больш за 95% ад рэалізаванай сумы эксплойтаў.
– 2 з 4 асобаў актыўна выказалі намер вярнуць выкарыстаную суму ў поўным аб'ёме.
— Осмос? (@osmosiszone) Чэрвень 8, 2022
Ледзь праз гадзіну пасля твіту Osmosis адносна зламыснікаў, FireStake - валідатар у экасістэме Cosmos - выступіў у твіте і прызнаў, што выкарыстоўвае памылку LP, але адзначыў, што яны спрабуюць «выправіць усё» і працуюць з камандай Osmosis. вярнуць выкарыстаныя сродкі.
Дарагі @osmosiszone Суполка, многія з вас ведаюць пра памылку Osmosis LP, якая адбылася ўчора.
Не верачы ў тое, што гэта рэальна, два члены @fire_stake пачаў тэставанне, каб убачыць, ці існуе памылка, тэставанне перарасло ў часовую памылку ў добрым меркаванні, і ...
— FireStake | Валідатар (@stake_fire) Чэрвень 8, 2022
у працэсе, нам удалося канвертаваць 226 долараў ЗША ў ~ 2 мільёны долараў. Мы думалі пра будучыню нашай сям'і, а не пра будучыню нашага грамадства.
Неўзабаве пасля гэтага мы на працягу ночы падкрэслівалі, як мы можам наладзіць усё. Зараз мы працуем з камандай Osmosis...
— FireStake | Валідатар (@stake_fire) Чэрвень 8, 2022
вярнуць сродкі як мага хутчэй. Мы таксама працуем з камандай Osmosis, каб заахвоціць усіх, хто скарыстаўся гэтай сітуацыяй, выступіць і вярнуць сродкі.
Вы можаце прыйсці да нас, і мы можам дапамагчы выступіць у якасці сувязіста. Мы павінны зрабіць гэта правільна.
— FireStake | Валідатар (@stake_fire) Чэрвень 8, 2022
Крыніца: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/