7月XNUMX日,有人發文稱 reddit的線程 後來被論壇版主刪除了。 該貼文包含一個嚴重的聲明 - Osmosis 網路存在一個錯誤,允許流動性提供者在添加和提取流動性時額外賺取 50%。
滲透(操作系統)是 Cosmos 生態系統中的區塊鏈,提供去中心化交易所和錢包。
在網路因緊急維護而停止之前,這種說法似乎不太可能。
你好 @osmosiszone 朋友們。 截至區塊#4713064,Osmosis 鏈已停止進行緊急維護。
此時 Osmosis DEX 和錢包無法操作,直到修復完成。
?請等待開發人員努力讓我們重新開始。
— ??EmperorOsmo(哈索爾節點)?? (@Flowslikeosmo) 2022 年 6 月 8 日
儘管 Osmosis 團隊當時並未承認存在漏洞,但在一些攻擊者損失了大約 5 萬美元後,漏洞才停止。
流動資金池並未“完全耗盡”。
開發人員正在修復錯誤,確定損失的規模(可能在 5 萬美元左右),並致力於恢復。
更多信息即將到來。 https://t.co/WOu7MMgSUM
— 滲透? (@osmosiszone) 2022 年 6 月 8 日
Osmosis 團隊已經識別了該錯誤並開發了一個補丁,正在部署之前進行測試。 開發人員仍在努力重啟網路。
更新:該錯誤已被識別並已編寫補丁。
在建議驗證者協調重啟之前,正在進行更多測試。
完整的錯誤報告和行動計劃,以便在未來幾天內對鏈升級進行更徹底和正確的端到端測試。 https://t.co/DjJMOEQxrT
— 滲透? (@osmosiszone) 2022 年 6 月 8 日
這就是攻擊者如何利用網路的,如鏈上活動所示:
一位 Twitter 用戶在貼文中指出,其中一名攻擊者以美元硬幣的形式增加了流動性(USDC)和 OSMO。 然後,攻擊者收到 GAMM LP 代幣作為回報,這代表了他們在礦池中的份額。 這些作惡者立即撤回了 GAMM LP 代幣,從而獲得了比作為流動性添加的 USDC 和 OSMO 多 50% 的收益。
首先,顯然不久前就有一個 Reddit 版主提出了這一點——所以支持他們。
➼ 所以錢包(osmo1hq)是利用者。
首先,他以以下形式提供流動性: $ USDC (我在原始程式碼中驗證了這一點)+ $靈眸
然後他收到 $GAMM LP 代幣作為回報。 pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) 2022 年 6 月 8 日
然後,犯罪者將 OSMO 代幣換成 ATOM,並將其發送到其他錢包。 一遍又一遍地重複同樣的過程——每次攻擊者都會多獲得 50% 的代幣。
Twitter 貼文稱,OSMO 的大部分收益都換成了 ATOM,並轉移到一個包含價值 9 萬美元 ATOM 代幣的錢包。 然而,該錢包不包括攻擊者利用該漏洞獲得的 USDC 代幣——USDC 代幣既沒有被交換也沒有被轉移,該線程補充道。
一旦他玩得很開心,
➼ 他發送了 $ ATOM 到其他錢包鏈。
很難說 https://t.co/o02L0T5QtQ 掃描器總共有多少錢,但我追蹤了錢包並且... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) 2022 年 6 月 8 日
滲透識別攻擊者; FireStake 誕生
根據 Osmosis 的 Twitter 帖子,四名攻擊者已被確定為主要肇事者,他們竊取了超過 95% 的被利用金額。 四名襲擊者中有兩人自願歸還全部被竊資金。 另外兩家與中心化交易所進行交易,這些交易所已收到警報以識別肇事者並追回資金。
更新:
– 已識別出 4 個人,佔已實現利用量的 95% 以上。
– 2 人中有 4 人主動表示願意全額歸還所開採的金額。
— 滲透? (@osmosiszone) 2022 年 6 月 8 日
在 Osmosis 發布有關攻擊者的推文後不到一個小時,Cosmos 生態系統中的驗證者 FireStake 在推文中站出來承認利用了 LP 漏洞,但指出他們正在努力「糾正錯誤」並與 Osmosis 團隊合作返還被佔用的資金。
親愛 @osmosiszone 社區中,很多人都知道昨天發生的 Osmosis LP bug。
兩名成員不敢相信這是真的 @fire_stake 開始測試看看 bug 是否存在,測試變成了暫時的良好判斷失誤,然後…
— FireStake | 驗證者(@stake_fire) 2022 年 6 月 8 日
在此過程中,我們成功地將 226 美元兌換成約 2 萬美元。 我們考慮的是我們家庭的未來,而不是我們社區的未來。
這樣做後不久,我們整個晚上都在強調如何才能把事情做好。 我們目前正在與 Osmosis 團隊合作…
— FireStake | 驗證者(@stake_fire) 2022 年 6 月 8 日
盡快返還資金。 我們也與 Osmosis 團隊合作,鼓勵其他利用這種情況的人挺身而出並退還資金。
歡迎您來找我們,我們可以幫助您擔任聯絡人。 我們需要糾正這一點。
— FireStake | 驗證者(@stake_fire) 2022 年 6 月 8 日
來源:https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/