- Bitcoin(BTC)$95,137.00-1.48%
- Ethereum(ETH)$3,283.00-0.85%
- Tether(USDT)$1.000.10%
- XRP(XRP)$2.21-0.63%
- BNB(BNB)$648.34-1.36%
- Solana(SOL)$180.530.51%
- Dogecoin(DOGE)$0.313510-1.43%
- USDC(USDC)$1.000.07%
- Cardano(ADA)$0.89-0.92%
- Lido Staked Ether(STETH)$3,281.17-0.80%
Зловмисники викрадають 5 мільйонів доларів у Osmosis в експлойті LP, 2 мільйони доларів повернули незабаром після цього
Осмос, а децентралізована біржа (DEX) Побудована в мережі Cosmos, була зупинена трохи раніше 3:00 ранку EST у середу після того, як зловмисники скористалися помилкою постачальника ліквідності (LP) на суму приблизно 5 мільйонів доларів.
Помилка була першою ідентифікований у пості Reddit на офіційній сторінці Cosmos Network. Користувач Straight-Hat3855 звернув увагу на «серйозну проблему» з Osmosis (OSMO), яка дозволяла користувачам довільно збільшувати LP на 50%, просто додаючи та видаляючи ліквідність. Пост на Reddit було швидко видалено, але не раніше, ніж зловмисники скористалися помилкою, яка призвела до вилучення приблизно 5 мільйонів доларів з пулів ліквідності на біржі Osmosis.
Після експлойту та виявлення помилки LP, обмін Osmosis був зупинений на висоті блоку 4 713 064, згідно на оголошення від Osmosis block explorer Mintscan.
Модератор проекту RoboMcGobo пояснював, як ця помилка працювала в серії публікацій у Osmosis Discord, який детально розповів, як ця помилка дозволила зловмисникам додати ліквідність будь-якому платіжному альбому Osmosis, а потім негайно вилучити його, щоб отримати 150% прибутку від початкового депозиту: «По суті, , функція дасть на 50% забагато акцій LP для приєднання», – написав RoboMcGobo одразу після 16:00 у середу, додавши: «Якби хтось мав отримати 10 акцій LP, 15 було б досягнуто».
RoboMcGobo пояснив, що помилка була «навмисно використана невеликою кількістю користувачів» і «здавалося б, ненавмисно кількома іншими». Згідно з повідомленням у Twitter від Osmosis, чотири зловмисники були відповідальними за 95% загальної суми експлойту, при цьому двоє зловмисників добровільно зробили крок вперед, щоб повернути вкрадені кошти.
Оновлення:
– Виявлено 4 особи, на які припадає понад 95% від суми реалізованого експлойту.
– 2 з 4 осіб активно виявили намір повернути використану суму в повному обсязі.
— Осмос (@osmosiszone) 8 червня 2022 року
Приблизно через годину після твіту Osmosis щодо атаки FireStake, a валідатор в екосистемі Cosmosопублікував ланцюжок у Twitter, у якому визнає, що «тимчасова помилка в розумінні» привела до того, що двоє членів його команди використали помилку приблизно на 2 мільйони доларів.
Firestake сказав своїм 1700 підписникам у Twitter, що вони «думають про те [their] майбутнє сім’ї», коли вони продовжували використовувати цю помилку. Однак, зізнавшись, що «наголошували всю ніч» через подію, вони вирішили добровільно повернути кошти і «налагодити ситуацію».
Шановний @osmosiszone Спільнота, багато хто з вас знає про помилку Osmosis LP, яка сталася вчора.
Не вірячи в те, що це справжнє, двоє членів @fire_stake розпочав тестування, щоб перевірити, чи існує помилка, тестування переросло в тимчасову помилку в розумінні, і…
— FireStake | Перевірка (@stake_fire) 8 червня 2022 року
Відповідно до На допис співзасновника Osmosis Санні Аггарвала, два інших хакери, відповідальні за крадіжку, здійснили серію транзакцій на централізованих біржах, що, на думку Аггарвала, полегшить їх відстеження.
RoboMcGobo повторив слова Аґгарвала в проекті Discord: «Кошти були пов’язані з рахунками CEX. Правоохоронні органи повідомлені… ми сподіваємося, що експлуататори зроблять тут правильні речі, щоб агресивні дії не були потрібні».