7 czerwca ktoś opublikował post Reddit wątek który został później usunięty przez moderatora forum. Wątek zawierał poważne twierdzenie — sieć Osmosis miała błąd, który pozwalał dostawcom płynności zarobić dodatkowe 50% podczas dodawania i wycofywania płynności.
Osmoza (OSMO) to blockchain w ekosystemie Cosmos, który oferuje zdecentralizowaną wymianę i portfel.
Twierdzenie wydawało się nieprawdopodobne, dopóki sieć nie została zatrzymana w celu awaryjnej konserwacji.
Cześć @osmozasiek przyjaciele. Od bloku #4713064 łańcuch osmozy został zatrzymany w celu konserwacji awaryjnej.
W tej chwili Osmosis DEX i portfel nie działają do czasu zakończenia napraw.
?Proszę, czekaj, aż deweloperzy będą pracować, aby nas z powrotem włączyć.
— ?EmperorOsmo (węzły Hathor)? (@Flowslikeosmo) 8 czerwca 2022 r.
Chociaż zespół Osmosis nie przyznał się wówczas do wykorzystania exploita, zatrzymanie nastąpiło po tym, jak kilku napastników ukradło około 5 milionów dolarów.
Pule płynności NIE zostały „całkowicie wyczerpane”.
Deweloperzy naprawiają błąd, ustalają wielkość strat (prawdopodobnie w granicach ~5 mln USD) i pracują nad naprawą.
Więcej informacji wkrótce. https://t.co/WOu7MMgSUM
— Osmoza ? (@osmoza) 8 czerwca 2022 r.
Zespół Osmosis zidentyfikował błąd i opracował łatkę, która jest testowana przed wdrożeniem. Programiści wciąż pracują nad ponownym uruchomieniem sieci.
Aktualizacja: błąd został zidentyfikowany i napisana łatka.
Trwają dalsze testy, zanim walidatorzy zalecą koordynację ponownego uruchomienia.
Pełny raport o błędach i plan działania dotyczący dokładniejszego i prawidłowego testowania ulepszeń łańcucha od końca do końca, który będzie dostępny w nadchodzących dniach. https://t.co/DjJMOEQxrT
— Osmoza ? (@osmoza) 8 czerwca 2022 r.
A zatem atakującym udało się wykorzystać sieć w następujący sposób, co pokazuje aktywność w łańcuchu:
Użytkownik Twittera zauważył w wątku, że jeden z atakujących dodał płynność w postaci USD Coin (USDC) i OSMO. Następnie atakujący otrzymał w zamian tokeny GAMM LP, które stanowiły jego udział w puli. Sprawcy ci natychmiast wycofali tokeny GAMM LP, zyskując w ten sposób 50% więcej niż kwota USDC i OSMO dodana jako płynność.
Po pierwsze, najwyraźniej subredditer wspomniał o tym jakiś czas temu – więc gratuluję im.
➼ Zatem portfel (osmo1hq) jest exploiterem.
Najpierw zapewnia Płynność w postaci $ USDC (Zweryfikowałem to w kodzie źródłowym) + $OSMO
Następnie otrzymuje $GAMM W zamian tokeny LP. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) 8 czerwca 2022 r.
Następnie sprawca zamienił tokeny OSMO na ATOM i wysłał je do innych portfeli. Ten sam proces powtarzał się wielokrotnie – za każdym razem atakujący zdobywał o 50% więcej tokenów.
Jak głosi wątek na Twitterze, większość wpływów z OSMO została zamieniona na ATOM i przeniesiona do portfela zawierającego tokeny ATOM o wartości 9 milionów dolarów. Jednak portfel ten nie zawierał tokenów USDC, które atakujący zdobył w wyniku wykorzystania błędu — tokeny USDC nie zostały zamienione ani przeniesione, dodał wątek.
Gdy już się dobrze bawił,
➼ Wysyła $ ATOM do łańcucha innych portfeli.
Trudno powiedzieć na https://t.co/o02L0T5QtQ skanerem ile to w sumie wyszło, ale prześledziłem portfele i… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) 8 czerwca 2022 r.
Osmoza identyfikuje napastników; Pojawia się FireStake
Jak wynika z wpisu Osmosis na Twitterze, głównymi sprawcami, którzy ukradli ponad 95% wykorzystanej kwoty, było czterech napastników. Dwóch z czterech napastników zgłosiło się na ochotnika do zwrotu całości skradzionych środków. Pozostałe dwie realizują transakcje do i ze scentralizowanych giełd, które zostały zaalarmowane w celu zidentyfikowania sprawców i odzyskania środków.
aktualizacja:
– Zidentyfikowano 4 osoby, które stanowią ponad 95% zrealizowanej ilości exploitów.
– 2 na 4 osoby aktywnie wyraziły zamiar zwrotu wykorzystanej kwoty w całości.
— Osmoza ? (@osmoza) 8 czerwca 2022 r.
Zaledwie godzinę po tweecie Osmosis dotyczącym napastników FireStake — walidator w ekosystemie Cosmos — zgłosił się w tweecie i przyznał się do wykorzystania błędu LP, ale zauważył, że próbują „naprawić sytuację” i współpracują z zespołem Osmosis zwrócić wykorzystane środki.
Drogi @osmozasiek społeczności, wielu z was wie o błędzie Osmosis LP, który miał miejsce wczoraj.
Z niedowierzaniem, że to jest prawdziwe, dwóch członków @opalacz rozpoczął testowanie, aby sprawdzić, czy błąd istnieje, testowanie przekształciło się w chwilową pomyłkę w dobrej ocenie i…
— FireStake | Walidator (@stake_fire) 8 czerwca 2022 r.
w trakcie tego procesu udało nam się przekonwertować 226 USD na ~2 mln USD. Myśleliśmy o przyszłości naszej rodziny, a nie przyszłości naszej społeczności.
Krótko po wykonaniu tej czynności przez całą noc stresowaliśmy się, jak możemy wszystko naprawić. Obecnie współpracujemy z zespołem Osmosis…
— FireStake | Walidator (@stake_fire) 8 czerwca 2022 r.
aby zwrócić środki tak szybko, jak to możliwe. Współpracujemy również z zespołem Osmosis, aby zachęcić każdego, kto skorzystał z tej sytuacji, aby zgłosił się i zwrócił środki.
Możesz do nas przyjść, a my pomożemy Ci pełnić rolę łącznika. Musimy to naprawić.
— FireStake | Walidator (@stake_fire) 8 czerwca 2022 r.
Źródło: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/