Асмас, а дэцэнтралізаваны абмен (DEX) пабудаваны ў сетцы Cosmos, быў спынены крыху раней за 3:00 раніцы па EST у сераду пасля таго, як зламыснікі выкарысталі памылку пастаўшчыка ліквіднасці (LP) на суму прыкладна 5 мільёнаў долараў.
Памылка была першай вызначаны у паведамленні Reddit на афіцыйнай старонцы Cosmos Network. Карыстальнік Straight-Hat3855 звярнуў увагу на «сур'ёзную праблему» з Osmosis (OSMO), якая дазваляла карыстальнікам адвольна павялічваць LP на 50%, проста дадаючы і выдаляючы ліквіднасць. Паведамленне на Reddit было хутка выдаленае, але не раней, чым зламыснікі скарысталіся памылкай, у выніку якой з пулаў ліквіднасці на біржы Osmosis было выдалена каля 5 мільёнаў долараў.
Пасля эксплойта і ідэнтыфікацыі памылкі LP, абмен Osmosis быў спынены на вышыні блока 4,713,064, у адпаведнасці на аб'яву ад Osmosis block explorer Mintscan.
Мадэратар праекта RoboMcGobo тлумачыў, як памылка працавала ў серыі паведамленняў у Osmosis Discord, які падрабязна расказаў, як памылка дазволіла зламыснікам дадаць ліквіднасць у любы LP Osmosis, а затым неадкладна забраць яго для вяртання 150% свайго першапачатковага дэпазіту: «Па сутнасці , функцыя дасць 50% занадта шмат акцый LP для далучэння», - напісаў RoboMcGobo адразу пасля 4:00 у сераду, дадаўшы: «Калі б трэба было атрымаць 10 акцый LP, 15 было б дасягнута».
RoboMcGobo патлумачыў, што памылка была «наўмысна выкарыстана невялікай колькасцю карыстальнікаў» і «здавалася б, ненаўмысна некаторымі іншымі». Паводле паведамлення ў Twitter ад Osmosis, чатыры зламыснікі былі адказныя за 95% агульнай колькасці эксплойтаў, прычым двое зламыснікаў добраахвотна выйшлі наперад, каб вярнуць скрадзеныя сродкі.
абнаўленне:
– Выяўлена 4 асобы, на долю якіх прыпадае больш за 95% ад рэалізаванай сумы эксплойтаў.
– 2 з 4 асобаў актыўна выказалі намер вярнуць выкарыстаную суму ў поўным аб'ёме.
— Осмос (@osmosiszone) Чэрвень 8, 2022
Прыкладна праз гадзіну пасля твіту Osmosis пра атаку FireStake, a валідатар у экасістэме Cosmos, размясціў ланцужок у Twitter, у якім прызнаў, што «часовая памылка ў добрым разуменні» прывяла да таго, што два члены яго каманды выкарысталі памылку прыкладна на 2 мільёны долараў.
Firestake сказаў сваім 1,700 паслядоўнікам у Twitter, што яны «думаюць пра будучыню [іх] сям'і», калі працягваюць выкарыстоўваць памылку. Аднак, прызнаўшыся, што «началі напружваліся» з нагоды падзеі, яны вырашылі добраахвотна вярнуць сродкі і «наладзіць усё».
Дарагі @osmosiszone Суполка, многія з вас ведаюць пра памылку Osmosis LP, якая адбылася ўчора.
Не верачы ў тое, што гэта рэальна, два члены @fire_stake пачаў тэставанне, каб убачыць, ці існуе памылка, тэставанне перарасло ў часовую памылку ў добрым меркаванні, і ...
— FireStake | Валідатар (@stake_fire) Чэрвень 8, 2022
згодна у паведамленні сузаснавальніка Osmosis Санні Агарвала, два іншых хакера, адказныя за крадзеж, здзейснілі серыю транзакцый на цэнтралізаваных біржах, што, на думку Агарвала, палегчыць іх выяўленне.
RoboMcGobo паўтарыў словы Агарвала ў Discord праекта: «Сродкі былі звязаны з рахункамі CEX. Праваахоўныя органы апавешчаныя... мы спадзяемся, што эксплуататары паробяць тут правільна, каб не спатрэбіцца агрэсіўных дзеянняў».
Крыніца: https://cointelegraph.com/news/attackers-loot-5m-from-osmosis-in-lp-exploit-2m-returned-soon-after