滲透作用, 分散交換(DEX) 該計畫建立在 Cosmos 網路上,在攻擊者利用流動性提供者 (LP) 漏洞造成約 3 萬美元損失後,於美國東部時間週三凌晨 00:5 之前停止運作。
錯誤是最早出現的 確定 在 Cosmos 網路官方頁面上的 Reddit 貼文中。 用戶 Straight-Hat3855 引起了人們對 Osmosis (OSMO) 的一個「嚴重問題」的關注,該問題允許用戶簡單地透過添加和刪除流動性來任意增加 50% 的 LP。 這篇 Reddit 貼文很快就被刪除了,但在此之前,惡意行為者利用了該漏洞,導致 Osmosis 交易所的流動性池中大約有 5 萬美元被刪除。
在利用並識別 LP bug 後,Osmosis 交易所在區塊高度 4,713,064 處停止, 根據 Osmosis 區塊瀏覽器 Mintscan 發布的公告。
專案主持人RoboMcGobo 在Osmosis Discord 的一系列貼文中解釋了漏洞的工作原理,他詳細說明了漏洞如何允許攻擊者向任何Osmosis LP 增加流動性,然後立即提取,以獲得初始存款150% 的回報:週三下午 50:4 後,RoboMcGobo 寫道,該功能將為加入者提供 00% 的 LP 股份,並補充道:“如果一個人應該獲得 10 股 LP 股份,那麼就會獲得 15 股。”
RoboMcGobo 解釋說,該漏洞是“少數用戶故意利用的”,而“其他一些用戶似乎是無意的”。 根據 Osmosis 的 Twitter 帖子,四名攻擊者對總攻擊金額的 95% 負責,其中兩名攻擊者自願站出來退還被盜資金。
更新:
– 已識別出 4 個人,佔已實現利用量的 95% 以上。
– 2 人中有 4 人主動表示願意全額歸還所開採的金額。
- 滲透(@osmosiszone) 2022 年 6 月 8 日
在 Osmosis 發布有關此次攻擊的推文大約一小時後,FireStake、 Cosmos 生態系中的驗證器,發布了一條 Twitter 帖子,承認“暫時的判斷失誤”導致其團隊的兩名成員利用該漏洞獲利約 2 萬美元。
Firestake 告訴他們的 1,700 名 Twitter 粉絲,當他們繼續利用漏洞時,他們正在「思考[他們的]家庭的未來」。 然而,在承認對這一事件「整晚都感到壓力」後,他們決定自願退還資金並「糾正事情」。
親愛 @osmosiszone 社區中,很多人都知道昨天發生的 Osmosis LP bug。
兩名成員不敢相信這是真的 @fire_stake 開始測試看看 bug 是否存在,測試變成了暫時的良好判斷失誤,然後…
— FireStake | 驗證者(@stake_fire) 2022 年 6 月 8 日
據 根據 Osmosis 聯合創始人 Sunny Aggarwal 的帖子,另外兩名負責盜竊的駭客向中心化交易所進行了一系列交易,Aggarwal 認為這將使追蹤他們變得更容易。
RoboMcGobo 回應了 Aggarwal 在專案 Discord 中的言論,「資金已與 CEX 帳號關聯。 執法部門已收到通知……我們希望剝削者能夠在這裡做正確的事情,這樣就沒有必要採取激進的行動。”
資料來源:https://cointelegraph.com/news/attackers-loot-5m-from-osmosis-in-lp-exploit-2m-returned-soon-after