7月XNUMX日,有人发了一条 reddit的线程 后来被论坛版主删了。 该线程包含一个严重的声明 - Osmosis 网络存在一个错误,允许流动性提供者在添加和提取流动性时额外赚取 50%。
渗透(OSMO) 是 Cosmos 生态系统中的区块链,提供去中心化交易所和钱包。
在网络因紧急维护而停止之前,这种说法似乎不太可能。
您好 @osmosiszone 朋友们。 截至 #4713064 区块,Osmosis 链已停止进行紧急维护。
此时 Osmosis DEX 和 Wallet 无法使用,直到修复完成。
?请等待开发人员努力让我们重新开始。
— ??EmperorOsmo(Hathor 节点)?? (@Flowslikeosmo) 2022 年 6 月 8 日
虽然 Osmosis 团队当时没有承认漏洞,但在一些攻击者耗尽了大约 5 万美元之后才停止。
流动资金池并未“完全耗尽”。
开发人员正在修复错误,确定损失的规模(可能在 5 万美元左右),并致力于恢复。
更多信息即将到来。 https://t.co/WOu7MMgSUM
— 渗透? (@osmosiszone) 2022 年 6 月 8 日
Osmosis 团队已经确定了这个错误并开发了一个补丁,该补丁正在部署之前进行测试。 开发人员仍在努力重新启动网络。
更新:已确定该错误并编写了补丁。
在建议验证者协调重启之前,正在进行更多测试。
完整的错误报告和行动计划,以便在未来几天对链升级进行更彻底和正确的端到端测试。 https://t.co/DjJMOEQxrT
— 渗透? (@osmosiszone) 2022 年 6 月 8 日
这就是攻击者设法利用网络的方式,如链上活动所示:
一位推特用户在帖子中指出,其中一名攻击者以美元硬币的形式增加了流动性(USDC) 和 OSMO。 攻击者随后收到 GAMM LP 代币作为回报,这代表了他们在池中的份额。 这些作恶者立即撤回了 GAMM LP 代币,从而比作为流动性添加的 USDC 和 OSMO 的数量多获得了 50%。
首先,显然一个 subredditer 不久前就提出了这一点——所以对他们来说是道具。
➼ 所以钱包(osmo1hq)是剥削者。
首先,他以以下形式提供流动性 $ USDC (我在源代码中验证了这一点)+ $灵眸
然后他收到 $GAMM LP代币作为回报。 pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) 2022 年 6 月 8 日
然后,犯罪者将 OSMO 代币换成 ATOM 并将它们发送到其他钱包。 同样的过程一遍又一遍地重复——每次攻击者获得 50% 以上的令牌。
推特线程说,OSMO 的大部分收益都被换成了 ATOM,并转移到一个包含价值 9 万美元 ATOM 代币的钱包中。 然而,该钱包不包括攻击者通过利用该漏洞获得的 USDC 代币——该线程补充说,USDC 代币既没有交换也没有转移。
一旦他玩得开心,
➼ 他发送 $ ATOM 到一连串其他钱包。
很难说 https://t.co/o02L0T5QtQ 扫描仪总共有多少,但我追踪了钱包,然后…… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) 2022 年 6 月 8 日
渗透识别攻击者; FireStake 出现
根据 Osmosis 的 Twitter 帖子,四名攻击者已被确定为窃取了超过 95% 的被利用金额的关键肇事者。 四分之二的攻击者自愿归还全部被盗资金。 另外两个与中心化交易所进行交易,这些交易所已收到警报以识别肇事者并追回资金。
更新:
– 已确定 4 个人占已实现利用量的 95% 以上。
– 2 人中有 4 人主动表示有意全额返还被剥削的金额。
— 渗透? (@osmosiszone) 2022 年 6 月 8 日
在 Osmosis 发布关于攻击者的推文后不到一个小时,Cosmos 生态系统中的验证者 FireStake 在推文中挺身而出,承认利用了 LP 漏洞,但指出他们正试图“纠正错误”并与 Osmosis 团队合作返还被剥削的资金。
亲爱 @osmosiszone 社区,你们中的许多人都知道昨天发生的 Osmosis LP 错误。
难以置信它是真实的,两名成员 @fire_stake 开始测试以查看错误是否存在,测试变成了良好判断的暂时失误,并且......
— FireStake | 验证者 (@stake_fire) 2022 年 6 月 8 日
在此过程中,我们设法将 226 美元兑换成约 2 万美元。 我们考虑的是我们家庭的未来,而不是我们社区的未来。
这样做后不久,我们整晚都在强调我们如何才能把事情做好。 我们目前正在与 Osmosis 团队合作……
— FireStake | 验证者 (@stake_fire) 2022 年 6 月 8 日
尽快归还资金。 我们还与 Osmosis 团队合作,鼓励其他利用这种情况的人挺身而出并归还资金。
欢迎您来找我们,我们可以作为联络人提供帮助。 我们需要纠正这一点。
— FireStake | 验证者 (@stake_fire) 2022 年 6 月 8 日
资料来源:https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/