7. juunil postitas keegi a reddit niidi mille foorumi moderaator hiljem kustutas. Lõim sisaldas tõsist väidet - Osmoosi võrgul oli viga, mis võimaldas likviidsuse pakkujatel likviidsuse lisamisel ja eemaldamisel teenida 50% lisatasu.
Osmoos (osmos) on Cosmose ökosüsteemi plokiahel, mis pakub detsentraliseeritud vahetust ja rahakotti.
Nõue tundus ebatõenäoline, kuni võrk peatati erakorralise hoolduse tõttu.
Tere @osmosiszone sõbrad. Alates plokist nr 4713064 on Osmoosi kett hädaabihoolduseks peatatud.
Praegu pole Osmosis DEX ja Wallet kuni remondi lõpetamiseni töökorras.
?Palun oodake, kuna arendajad töötavad meie taastamiseks.
— ??EmperorOsmo(Hathor Nodes)?? (@Flowslikeosmo) Juuni 8, 2022
Kuigi Osmoosi meeskond ei tunnistanud toona ärakasutamist, saabus peatus pärast seda, kui mõned ründajad kulutasid umbes 5 miljonit dollarit.
Likviidsusbasseinid EI olnud "täielikult tühjendatud".
Arendajad parandavad vea, määravad kahjude ulatuse (tõenäoliselt umbes 5 miljonit dollarit) ja töötavad taastamise nimel.
Täpsem info tuleb. https://t.co/WOu7MMgSUM
— Osmoos? (@osmosiszone) Juuni 8, 2022
Osmoosi meeskond on vea tuvastanud ja välja töötanud plaastri, mida testitakse enne juurutamist. Arendajad töötavad endiselt võrgu taaskäivitamise kallal.
Värskendus: viga on tuvastatud ja plaaster on kirjutatud.
Käimas on rohkem testimisi, enne kui soovitatakse validaatoritel taaskäivitamist koordineerima.
Täielik veaaruanne ja tegevuskava ahela täienduste põhjalikumaks ja korralikuks testimiseks lähipäevil. https://t.co/DjJMOEQxrT
— Osmoos? (@osmosiszone) Juuni 8, 2022
Nii õnnestus ründajatel võrku ära kasutada järgmiselt, nagu näitab ketisisesed tegevused:
Twitteri kasutaja juhtis lõimes tähelepanu sellele, et üks ründajatest lisas likviidsust USD Coini näol (USDC) ja OSMO. Seejärel sai ründaja vastutasuks GAMM LP märgid, mis esindasid nende osa kogumis. Need kurjategijad võtsid GAMM LP-märgid kohe tagasi, saades sellega 50% rohkem kui USDC ja OSMO summa, mis oli likviidsusena lisatud.
Esiteks kutsus alamrediter selle mõni aeg tagasi välja – nii et rekvisiit neile.
➼ Nii et rahakott (osmo1hq) on ekspluateerija.
Esiteks pakub ta likviidsust kujul USDC (Ma kontrollisin seda lähtekoodis) + $ OSMO
Ta saab siis vastu $GAMM Tasuks LP märgid. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Juuni 8, 2022
Seejärel vahetas kurjategija OSMO märgid ATOMi vastu ja saatis need teistesse rahakottidesse. Seda sama protsessi korrati ikka ja jälle – iga kord sai ründaja 50% rohkem märke.
Enamik OSMO tuludest vahetati ATOM-i vastu ja kanti rahakotti, mis sisaldab 9 miljoni dollari väärtuses ATOM-märke, teatas Twitteri lõime. See rahakott ei sisaldanud aga USDC märke, mille ründaja sai vea ära kasutades – USDC märke ei vahetatud ega üle antud, lisati lõim.
Kui tal on lõbus olnud,
➼ Ta saadab $ ATOM teiste rahakottide ahelasse.
Seda on raske öelda https://t.co/o02L0T5QtQ skanner, kui palju see kokku oli, aga jälgisin rahakotte ja… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Juuni 8, 2022
Osmoos tuvastab ründajad; FireStake tuleb välja
Osmoosi Twitteri lõime kohaselt on peamiseks kurjategijaks tunnistatud neli ründajat, kes varastasid üle 95% ära kasutatud kogusest. Neljast ründajast kaks on vabatahtlikult kogu varastatud raha tagastanud. Ülejäänud kahel on tehingud tsentraliseeritud börsidele ja tsentraliseeritud börsidelt, mida on hoiatatud, et tuvastada kurjategijad ja saada raha tagasi.
Värskenda:
– Tuvastatud on 4 isendit, kes moodustavad 95%+ realiseeritud kasutusmahust.
– 2 isikut 4-st on ennetavalt väljendanud kavatsust ekspluateeritud kogus täielikult tagastada.
— Osmoos? (@osmosiszone) Juuni 8, 2022
Vaevalt tund pärast Osmoosi säutsu ründajate kohta tuli FireStake – Cosmose ökosüsteemi valideerija – säutsus ja tunnistas, et kasutas ära LP-vea, kuid märkis, et üritab asju paika panna ja Osmoosi meeskonnaga koostööd teha. kasutatud raha tagastada.
LUGUPEETUD @osmosiszone paljud teist teavad eile ilmnenud Osmosis LP veast.
Uskumatuna selle tõelisusesse, kaks liiget @fire_stake alustas testimist, et näha, kas viga on olemas, testimine kasvas hea hinnangu kohaselt ajutiseks katkestuseks ja…
— FireStake | Validaator (@stake_fire) Juuni 8, 2022
selle käigus õnnestus meil konverteerida 226 USD dollarit ~2 miljoniks dollariks. Mõtlesime oma pere tulevikule, mitte kogukonna tulevikule.
Vahetult pärast seda rõhutasime kogu öö, kuidas saaksime asjad korda teha. Praegu töötame Osmoosi meeskonnaga…
— FireStake | Validaator (@stake_fire) Juuni 8, 2022
raha võimalikult kiiresti tagastama. Teeme koostööd ka Osmoosi meeskonnaga, et julgustada kõiki teisi, kes seda olukorda ära kasutasid, end üles astuma ja raha tagastama.
Olete teretulnud meie juurde ja me saame aidata tegutseda kontaktisikuna. Peame selle õigeks tegema.
— FireStake | Validaator (@stake_fire) Juuni 8, 2022
Allikas: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/