ב-7 ביוני, מישהו פרסם א חוט reddit שנמחק מאוחר יותר על ידי מנהל הפורום. השרשור הכיל טענה רצינית - לרשת Osmosis היה באג שאפשר לספקי נזילות להרוויח תוספת של 50% בעת הוספה ומשיכת נזילות.
אוסמוזה (אוסמו) הוא בלוקצ'יין במערכת האקולוגית של קוסמוס שמציע בורסה וארנק מבוזרות.
התביעה נראתה בלתי סבירה עד שהרשת נעצרה לצורך תחזוקה חירום.
שלום @osmosiszone חברים. החל מגוש #4713064, רשת האוסמוזיס נעצרה לצורך תחזוקה חירום.
בשלב זה, ה-Osmosis DEX והארנק אינם פעילים, עד להשלמת התיקונים.
? נא לעמוד מנגד בזמן שהמפתחים עובדים כדי להחזיר אותנו.
— ??EmperorOsmo(Hathor Nodes)?? (@Flowslikeosmo) יוני 8, 2022
למרות שצוות האוסמוזיס לא הכיר בזמנו בניצול, ההפסקה הגיעה לאחר שכמה תוקפים רוקנו כ-5 מיליון דולר.
בריכות נזילות לא "נוקזו לחלוטין".
מפתחים מתקנים את הבאג, מגדירים את גודל ההפסדים (ככל הנראה בטווח של ~5 מיליון דולר), ועובדים על התאוששות.
מידע נוסף שיבוא. https://t.co/WOu7MMgSUM
- אוסמוזה? (@osmosiszone) יוני 8, 2022
צוות Osmosis זיהה את הבאג ופיתח תיקון שנבדק לפני הפריסה. המפתחים עדיין עובדים על הפעלה מחדש של הרשת.
עדכון: הבאג זוהה ונכתב תיקון.
בדיקות נוספות מתבצעות לפני שמאמתים מומלצים לתאם הפעלה מחדש.
דוח באגים מלא ותוכנית פעולה לבדיקות מקצה לקצה יותר יסודיות ונכונות של שדרוגי שרשרת שיתבצעו בימים הקרובים. https://t.co/DjJMOEQxrT
- אוסמוזה? (@osmosiszone) יוני 8, 2022
אז כך הצליחו התוקפים לנצל את הרשת, כפי שמוצג מפעילות בשרשרת:
משתמש בטוויטר ציין בשרשור שאחד התוקפים הוסיף נזילות בצורת USD Coin (דולר ארה"ב) ו-OSMO. לאחר מכן קיבל התוקף אסימוני GAMM LP בתמורה, שייצגו את חלקו במאגר. מבצעים אלה משכו מיד את אסימוני GAMM LP, ובכך הרוויחו 50% יותר מסכום ה-USDC ו-OSMO שנוספו כנזילות.
ראשית, ככל הנראה סוברדיטר קרא את זה לפני כמה זמן - אז עזר להם.
➼ אז הארנק (osmo1hq) הוא המנצל.
ראשית הוא מספק נזילות בצורה של $ USDC (אימתתי את זה בקוד המקור) + $ OSMO
לאחר מכן הוא מקבל $GAMM אסימוני LP בתמורה. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) יוני 8, 2022
לאחר מכן, העבריין החליף את אסימוני OSMO עבור ATOM ושלח אותם לארנקים אחרים. אותו תהליך חזר על עצמו שוב ושוב - בכל פעם שהתוקף השיג 50% יותר אסימונים.
רוב ההכנסות ב-OSMO הוחלפו ל-ATOM והועברו לארנק המכיל אסימוני ATOM בשווי 9 מיליון דולר, כך נכתב בשרשור הטוויטר. עם זאת, הארנק הזה לא כלל את אסימוני ה-USDC שהתוקף השיג מניצול הבאג - אסימוני ה-USDC לא הוחלפו ולא הועברו, הוסיף השרשור.
ברגע שהוא נהנה,
➼ הוא שולח את $ אטום החוצה לשרשרת של ארנקים אחרים.
קשה לדעת על https://t.co/o02L0T5QtQ סורק כמה בסך הכל זה היה, אבל עקבתי אחר הארנקים ו... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) יוני 8, 2022
אוסמוזה מזהה תוקפים; FireStake יוצא
ארבעה תוקפים זוהו כמבצעי המפתח שגנבו למעלה מ-95% מהכמות המנוצלת, לפי שרשור טוויטר של Osmosis. שניים מתוך ארבעת התוקפים התנדבו להחזיר את כל הכספים הגנובים. לשניים האחרים יש עסקאות לבורסות מרכזיות וממנה, שהוזעקו כדי לזהות את העבריינים ולהחזיר את הכספים.
עדכון:
- זוהו 4 אנשים המהווים 95%+ מכמות הניצול המומש.
- 2 מתוך 4 הפרטים הביעו באופן יזום כוונה להחזיר את הסכום המנוצל במלואו.
- אוסמוזה? (@osmosiszone) יוני 8, 2022
בקושי שעה לאחר הציוץ של Osmosis בנוגע לתוקפים, FireStake - מאמת במערכת האקולוגית של קוסמוס - התייצב בציוץ והודו שניצלו את באג LP אך ציינו שהם מנסים "לסדר את הדברים" ועובדים עם צוות Osmosis להחזיר את הכספים המנוצלים.
יקר @osmosiszone הקהילה, רבים מכם יודעים על באג Osmosis LP שהתרחש אתמול.
בחוסר אמון שזה אמיתי, שני חברים של @fire_stake התחילו בבדיקה כדי לראות אם הבאג קיים, הבדיקה גדלה לפסילה זמנית בשיקול דעת טוב, ו...
— FireStake | מאמת (@stake_fire) יוני 8, 2022
תוך כדי כך, הצלחנו להמיר $226 דולר ל~2 מיליון דולר. חשבנו על עתיד המשפחה שלנו, ולא על עתיד הקהילה שלנו.
זמן קצר לאחר שעשינו זאת, הדגשנו במשך כל הלילה כיצד אנו יכולים לתקן את הדברים. כרגע אנחנו עובדים עם צוות אוסמוזה...
— FireStake | מאמת (@stake_fire) יוני 8, 2022
להחזיר את הכספים בהקדם האפשרי. אנחנו גם עובדים עם צוות Osmosis כדי לעודד כל מי שניצל את המצב הזה בבקשה להתייצב ולהחזיר כספים.
אתה מוזמן לבוא אלינו, ונוכל לעזור לשמש כאיש קשר. אנחנו צריכים לעשות את זה נכון.
— FireStake | מאמת (@stake_fire) יוני 8, 2022
מקור: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/