เมื่อวันที่ 7 มิถุนายน มีคนโพสต์ ด้าย Reddit ที่ถูกลบโดยผู้ดูแลฟอรัมในภายหลัง เธรดมีการอ้างสิทธิ์อย่างจริงจัง — เครือข่าย Osmosis มีจุดบกพร่องที่อนุญาตให้ผู้ให้บริการสภาพคล่องได้รับเงินพิเศษ 50% เมื่อเพิ่มและถอนสภาพคล่อง
ออสโมซิส (OSMO) เป็นบล็อกเชนในระบบนิเวศของ Cosmos ที่เสนอการแลกเปลี่ยนและกระเป๋าเงินแบบกระจายอำนาจ
การอ้างสิทธิ์ดูเหมือนไม่น่าจะเป็นไปได้จนกว่าเครือข่ายจะหยุดทำการบำรุงรักษาฉุกเฉิน
สวัสดี @osmosiszone เพื่อน. ในบล็อก #4713064 โซ่ออสโมซิสได้หยุดทำงานเพื่อการบำรุงรักษาฉุกเฉิน
ขณะนี้ Osmosis DEX และ Wallet ไม่สามารถใช้งานได้ จนกว่าการซ่อมแซมจะเสร็จสิ้น
?โปรดรอในขณะที่ Devs ทำงานเพื่อให้เรากลับมาทำงานอีกครั้ง
— ??EmperorOsmo(โหนดฮาธอร์)?? (@Flowslikeosmo) มิถุนายน 8, 2022
แม้ว่าทีม Osmosis จะไม่รับรู้ถึงการเอารัดเอาเปรียบในขณะนั้น แต่การหยุดชะงักนั้นเกิดขึ้นหลังจากผู้โจมตีบางรายใช้เงินไปประมาณ 5 ล้านเหรียญสหรัฐ
กลุ่มสภาพคล่องไม่ได้ "ระบายออกอย่างสมบูรณ์"
นักพัฒนากำลังแก้ไขข้อผิดพลาด กำหนดขอบเขตขนาดของการสูญเสีย (น่าจะอยู่ในช่วงประมาณ 5 ล้านเหรียญสหรัฐ) และกำลังดำเนินการกู้คืน
ข้อมูลเพิ่มเติมที่จะมา https://t.co/WOu7MMgSUM
— ออสโมซิส ? (@osmosisโซน) มิถุนายน 8, 2022
ทีม Osmosis ได้ระบุจุดบกพร่องและพัฒนาโปรแกรมแก้ไขที่กำลังได้รับการทดสอบก่อนนำไปใช้งาน นักพัฒนายังคงพยายามเริ่มต้นเครือข่ายใหม่
อัปเดต: ระบุจุดบกพร่องและเขียนโปรแกรมแก้ไขแล้ว
กำลังดำเนินการทดสอบเพิ่มเติมก่อนที่จะแนะนำให้ผู้ตรวจสอบความถูกต้องเพื่อประสานงานการรีสตาร์ท
รายงานข้อบกพร่องฉบับสมบูรณ์และแผนปฏิบัติการสำหรับการทดสอบการอัปเกรดลูกโซ่อย่างละเอียดและเหมาะสมยิ่งขึ้นในเร็วๆ นี้ https://t.co/DjJMOEQxrT
— ออสโมซิส ? (@osmosisโซน) มิถุนายน 8, 2022
นี่คือวิธีที่ผู้โจมตีสามารถใช้ประโยชน์จากเครือข่าย ดังที่แสดงโดยกิจกรรมบนเครือข่าย:
ผู้ใช้ Twitter ระบุในกระทู้ว่าผู้โจมตีรายหนึ่งได้เพิ่มสภาพคล่องในรูปแบบของ USD Coin (USDC) และ OSMO จากนั้นผู้โจมตีจะได้รับโทเค็น GAMM LP เป็นการตอบแทน ซึ่งแสดงถึงส่วนแบ่งของพวกเขาในกลุ่ม ผู้กระทำผิดเหล่านี้ถอนโทเค็น GAMM LP ออกทันที ส่งผลให้ได้รับเงินเพิ่มขึ้น 50% จากจำนวน USDC และ OSMO ที่เพิ่มเข้ามาเป็นสภาพคล่อง
อย่างแรกเลย เห็นได้ชัดว่า subredditer เรียกสิ่งนี้ออกมาในขณะที่กลับมา - ดังนั้นให้พรกับพวกเขา
➼ ดังนั้นกระเป๋าเงิน (osmo1hq) จึงเป็นช่องโหว่
อันดับแรก เขาให้สภาพคล่องในรูปของ $ USDC (ฉันตรวจสอบสิ่งนี้ในซอร์สโค้ด) + $ออสโม
จากนั้นเขาก็ได้รับ $GAMM โทเค็น LP เป็นการตอบแทน pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) มิถุนายน 8, 2022
จากนั้นผู้กระทำความผิดได้เปลี่ยนโทเค็น OSMO เป็น ATOM และส่งไปยังกระเป๋าอื่น กระบวนการเดียวกันนี้เกิดขึ้นซ้ำแล้วซ้ำเล่า — ทุกครั้งที่ผู้โจมตีได้รับโทเค็นเพิ่มขึ้น 50%
รายได้ส่วนใหญ่ใน OSMO ถูกแลกเปลี่ยนเป็น ATOM และโอนไปยังกระเป๋าเงินที่มีโทเค็น ATOM มูลค่า 9 ล้านดอลลาร์ กระทู้ใน Twitter กล่าว อย่างไรก็ตาม กระเป๋าเงินนี้ไม่ได้รวมโทเค็น USDC ที่ผู้โจมตีได้รับจากการใช้ประโยชน์จากจุดบกพร่อง — โทเค็น USDC ไม่ได้ถูกแลกเปลี่ยนหรือถ่ายโอนแต่อย่างใด
เมื่อเขาสนุกแล้ว
➼เขาส่ง $ ATOM ออกไปเป็นห่วงโซ่ของกระเป๋าสตางค์อื่น ๆ
มันยากที่จะบอกเกี่ยวกับ https://t.co/o02L0T5QtQ สแกนเนอร์ว่าทั้งหมดเท่าไหร่ แต่ฉันติดตามกระเป๋าสตางค์และ... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) มิถุนายน 8, 2022
ออสโมซิสระบุผู้โจมตี FireStake ออกมา
ผู้โจมตีสี่รายได้รับการระบุว่าเป็นผู้กระทำความผิดหลักซึ่งขโมยเงินกว่า 95% ของจำนวนเงินที่ใช้ประโยชน์ตามกระทู้ Twitter โดย Osmosis ผู้โจมตีสองในสี่คนอาสาที่จะคืนเงินที่ขโมยมาทั้งหมด อีกสองรายการมีการทำธุรกรรมไปและกลับจากการแลกเปลี่ยนแบบรวมศูนย์ ซึ่งได้รับการแจ้งเตือนให้ระบุตัวผู้กระทำความผิดและกู้คืนเงิน
ปรับปรุง:
– มีการระบุบุคคล 4 คนซึ่งคิดเป็น 95%+ ของจำนวนเงินที่หาประโยชน์ได้จริง
– 2 ใน 4 บุคคลได้แสดงเจตนาในเชิงรุกที่จะคืนจำนวนเงินที่ใช้ประโยชน์ได้เต็มจำนวน
— ออสโมซิส ? (@osmosisโซน) มิถุนายน 8, 2022
เกือบหนึ่งชั่วโมงหลังจากทวีตของ Osmosis เกี่ยวกับผู้โจมตี FireStake ซึ่งเป็นผู้ตรวจสอบความถูกต้องในระบบนิเวศของ Cosmos ได้เข้ามาทวีตและยอมรับว่าใช้ช่องโหว่ของ LP แต่สังเกตว่าพวกเขากำลังพยายาม "ตั้งค่าให้ถูกต้อง" และทำงานร่วมกับทีม Osmosis เพื่อคืนทุนที่ถูกเอารัดเอาเปรียบ
รัก @osmosiszone หลายท่านทราบเกี่ยวกับจุดบกพร่องของ Osmosis LP ที่เกิดขึ้นเมื่อวานนี้
ด้วยความไม่เชื่อว่ามีจริง สมาชิกสองคนของ @fire_stake เริ่มการทดสอบเพื่อดูว่ามีจุดบกพร่องหรือไม่ การทดสอบกลายเป็นการหยุดชั่วคราวด้วยวิจารณญาณที่ดี และ...
— ไฟร์สเตค | ผู้ตรวจสอบความถูกต้อง (@stake_fire) มิถุนายน 8, 2022
ในกระบวนการนี้ เราจัดการแปลง $226 USD เป็น ~$2M เรากำลังคิดถึงอนาคตของครอบครัว ไม่ใช่อนาคตของชุมชน
หลังจากทำเช่นนั้นได้ไม่นาน เราก็ได้เน้นย้ำตลอดทั้งคืนเกี่ยวกับวิธีที่เราจะทำสิ่งต่างๆ ให้ถูกต้อง ขณะนี้เรากำลังทำงานร่วมกับทีม Osmosis...
— ไฟร์สเตค | ผู้ตรวจสอบความถูกต้อง (@stake_fire) มิถุนายน 8, 2022
เพื่อคืนเงินโดยเร็วที่สุด เรากำลังทำงานร่วมกับทีม Osmosis เพื่อส่งเสริมให้ใครก็ตามที่ใช้ประโยชน์จากสถานการณ์นี้ โปรดกลับมาและคืนเงิน
ยินดีต้อนรับคุณมาหาเรา และเราสามารถช่วยทำหน้าที่เป็นผู้ประสานงานได้ เราต้องทำให้ถูกต้อง
— ไฟร์สเตค | ผู้ตรวจสอบความถูกต้อง (@stake_fire) มิถุนายน 8, 2022
ที่มา: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/