7 июня кто-то опубликовал Reddit нить который позже был удален модератором форума. В треде была серьезная претензия — в сети Osmosis была ошибка, которая позволяла поставщикам ликвидности зарабатывать дополнительные 50% при добавлении и выводе ликвидности.
Осмос (OSMO) — это блокчейн в экосистеме Cosmos, который предлагает децентрализованный обмен и кошелек.
Заявление казалось невероятным, пока сеть не была остановлена для аварийного обслуживания.
Привет @osmosiszone друзья. Начиная с блока № 4713064 цепь осмоса была остановлена для проведения аварийного технического обслуживания.
В настоящее время Osmosis DEX и Wallet неработоспособны, пока ремонт не будет завершен.
«Пожалуйста, подождите, пока разработчики работают, чтобы вернуть нас.
— ??Император Осмо(Узлы Хатхор)?? (@Flowslikeosmo) 8 июня 2022
Хотя в то время команда Osmosis не признала эксплойт, остановка произошла после того, как несколько злоумышленников потратили около 5 миллионов долларов.
Пулы ликвидности НЕ были «полностью истощены».
Разработчики исправляют ошибку, оценивают размер убытков (вероятно, в диапазоне ~ 5 миллионов долларов) и работают над восстановлением.
Больше информации, чтобы прийти. https://t.co/WOu7MMgSUM
— Осмос? (@osmosiszone) 8 июня 2022
Команда Osmosis обнаружила ошибку и разработала исправление, которое тестируется перед развертыванием. Разработчики все еще работают над перезапуском сети.
Обновление: Ошибка обнаружена и написан патч.
Проводится дополнительное тестирование, прежде чем валидаторам будет рекомендовано координировать перезапуск.
Полный отчет об ошибках и план действий для более тщательного и надлежащего сквозного тестирования обновлений цепочки, которые появятся в ближайшие дни. https://t.co/DjJMOEQxrT
— Осмос? (@osmosiszone) 8 июня 2022
Вот как злоумышленникам удалось использовать сеть, о чем свидетельствует активность в сети:
Пользователь Твиттера указал в ветке, что один из злоумышленников добавил ликвидность в виде USD Coin (USDC) и ОСМО. Затем злоумышленник получил взамен токены GAMM LP, которые представляли его долю в пуле. Эти преступники немедленно отозвали токены GAMM LP, тем самым получив на 50% больше, чем количество USDC и OSMO, которые были добавлены в качестве ликвидности.
Во-первых, по-видимому, некоторое время назад об этом сообщил субреддитер — так что респект им.
➼ Итак, кошелек (osmo1hq) — это эксплуататор.
Сначала он предоставляет Ликвидность в виде $ USDC (Я проверил это в исходном коде) + $ OSMO
Затем он получает $ГАММ Токены LP взамен. pic.twitter.com/K3JzrDRPMN
— Андех #OnChain (@0xLosingMoney) 8 июня 2022
Затем злоумышленник обменял токены OSMO на ATOM и отправил их на другие кошельки. Этот же процесс повторялся снова и снова — каждый раз злоумышленник получал на 50% больше токенов.
Большая часть доходов от OSMO была обменена на ATOM и переведена в кошелек, содержащий токены ATOM на сумму 9 миллионов долларов, говорится в сообщении Twitter. Однако в этом кошельке не было токенов USDC, которые злоумышленник получил, воспользовавшись ошибкой — токены USDC не были ни обменены, ни переданы, добавил поток.
Как только он повеселился,
➼ Он отправляет $ ATOM на цепочку других кошельков.
Трудно сказать о https://t.co/o02L0T5QtQ сканером сколько всего было, но я отследил кошельки и… pic.twitter.com/dchu2pDgQG
— Андех #OnChain (@0xLosingMoney) 8 июня 2022
Osmosis идентифицирует злоумышленников; выходит FireStake
Согласно сообщению Osmosis в Твиттере, четыре злоумышленника были определены как ключевые преступники, укравшие более 95% использованной суммы. Двое из четырех злоумышленников вызвались вернуть украденные средства полностью. У двух других есть транзакции с централизованными биржами, которые были предупреждены, чтобы выявить преступников и вернуть средства.
Обновление:
- Выявлено 4 человека, на долю которых приходится 95%+ реализованной суммы эксплойта.
– 2 из 4 физических лиц заявили о намерении вернуть отработанную сумму в полном объеме.
— Осмос? (@osmosiszone) 8 июня 2022
Всего через час после твита Osmosis о злоумышленниках FireStake — валидатор в экосистеме Cosmos — опубликовал твит и признался в использовании ошибки LP, но отметил, что они пытаются «исправить ситуацию» и работают с командой Osmosis. вернуть использованные средства.
Уважаемые @osmosiszone сообщество, многие из вас знают о вчерашней ошибке Osmosis LP.
Не веря в реальность, два члена @fire_stake начал тестирование, чтобы увидеть, существует ли ошибка, тестирование переросло во временное упущение здравого смысла и…
— Файрстейк | Валидатор (@stake_fire) 8 июня 2022
в процессе нам удалось конвертировать 226 долларов США в ~ 2 миллиона долларов. Мы думали о будущем нашей семьи, а не о будущем нашего сообщества.
Вскоре после этого мы всю ночь подчеркивали, как мы можем все исправить. В настоящее время мы работаем с командой Osmosis…
— Файрстейк | Валидатор (@stake_fire) 8 июня 2022
вернуть средства в кратчайшие сроки. Мы также работаем с командой Osmosis, чтобы призвать всех, кто воспользовался этой ситуацией, откликнуться и вернуть средства.
Добро пожаловать к нам, и мы можем помочь выступить в качестве связующего звена. Мы должны сделать это правильно.
— Файрстейк | Валидатор (@stake_fire) 8 июня 2022
Источник: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/