Noong June 7, may nag-post ng a reddit thread na sa kalaunan ay tinanggal ng moderator ng forum. Ang thread ay naglalaman ng isang seryosong claim — ang Osmosis network ay may bug na nagpapahintulot sa mga provider ng liquidity na makakuha ng dagdag na 50% kapag nagdadagdag at nag-withdraw ng liquidity.
Osmosis (WALO) ay isang blockchain sa Cosmos ecosystem na nag-aalok ng desentralisadong palitan at pitaka.
Ang paghahabol ay tila imposible hanggang sa ang network ay itinigil para sa emergency na pagpapanatili.
Hello @osmosiszone mga kaibigan. Sa block #4713064 ang Osmosis chain ay itinigil para sa emergency na maintenance.
Sa oras na ito ang Osmosis DEX at Wallet ay hindi mapapatakbo, hanggang sa makumpleto ang pag-aayos.
?Mangyaring tumayo habang nagtatrabaho si Devs para makabalik kami.
— ??EmperorOsmo(Hathor Nodes)?? (@Flowslikeosmo) Hunyo 8, 2022
Bagama't hindi kinilala ng koponan ng Osmosis ang isang pagsasamantala noong panahong iyon, ang paghinto ay nangyari pagkatapos na maubos ng ilang mga umaatake ang humigit-kumulang $5 milyon.
HINDI "ganap na naubos" ang mga liquidity pool.
Inaayos ng mga dev ang bug, sinasaklaw ang laki ng mga pagkalugi (malamang nasa hanay na ~$5M), at nagtatrabaho sa pagbawi.
Dagdag pang impormasyon na darating. https://t.co/WOu7MMgSUM
— Osmosis ? (@osmosiszone) Hunyo 8, 2022
Natukoy ng koponan ng Osmosis ang bug at bumuo ng isang patch na sinusuri bago i-deploy. Nagsusumikap pa rin ang mga developer sa pag-restart ng network.
Update: Natukoy na ang bug at may nakasulat na patch.
Marami pang pagsubok ang isinasagawa bago irekomenda ang mga validator na mag-coordinate ng pag-restart.
Buong ulat ng bug at plano ng pagkilos para sa mas masinsinang at wastong pagsubok sa pagtatapos ng mga pag-upgrade ng chain na susundan sa mga darating na araw. https://t.co/DjJMOEQxrT
— Osmosis ? (@osmosiszone) Hunyo 8, 2022
Kaya ito ay kung paano pinamamahalaan ng mga umaatake na pagsamantalahan ang network, tulad ng ipinapakita ng on-chain na aktibidad:
Itinuro ng isang user ng Twitter sa isang thread na ang isa sa mga umaatake ay nagdagdag ng pagkatubig sa anyo ng USD Coin (USDC) at OSMO. Pagkatapos ay nakatanggap ang attacker ng mga token ng GAMM LP bilang kapalit, na kumakatawan sa kanilang bahagi sa pool. Agad na binawi ng mga salarin na ito ang mga token ng GAMM LP, sa gayon ay nakakuha ng 50% na dagdag kaysa sa halaga ng USDC at OSMO na idinagdag bilang pagkatubig.
Una, tila tinawag ito ng isang subredditer noong nakaraan - kaya props sa kanila.
➼ Kaya ang wallet (osmo1hq) ay ang mapagsamantala.
Una ay nagbibigay siya ng Liquidity sa anyo ng $ USDC (Na-verify ko ito sa source code) + $ OSMO
Pagkatapos ay natatanggap niya $GAMM Mga token ng LP bilang kapalit. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Hunyo 8, 2022
Pagkatapos ay pinalitan ng salarin ang mga OSMO token para sa ATOM at ipinadala ang mga ito sa iba pang mga wallet. Ang parehong proseso ay paulit-ulit na paulit-ulit — sa tuwing nakakakuha ang umaatake ng 50% higit pang mga token.
Karamihan sa mga nalikom sa OSMO ay ipinagpalit para sa ATOM at inilipat sa isang pitaka na naglalaman ng $9 milyon na halaga ng mga token ng ATOM, sinabi ng Twitter thread. Gayunpaman, hindi kasama sa wallet na ito ang mga token ng USDC na nakuha ng umaatake sa pamamagitan ng pagsasamantala sa bug — ang mga token ng USDC ay hindi ipinagpalit o inilipat, idinagdag ng thread.
Sa sandaling siya ay naging masaya,
➼ Ipinapadala niya ang $ ATOM sa isang kadena ng iba pang mga wallet.
Mahirap sabihin sa https://t.co/o02L0T5QtQ scanner kung magkano ito sa kabuuan, ngunit nasubaybayan ko ang mga wallet at... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Hunyo 8, 2022
Kinikilala ng Osmosis ang mga umaatake; Lumabas ang FireStake
Apat na umaatake ang natukoy bilang pangunahing mga salarin na nagnakaw ng higit sa 95% ng pinagsamantalang halaga, ayon sa isang Twitter thread ng Osmosis. Dalawa sa apat na umaatake ang nagboluntaryong ibalik ang kumpletong ninakaw na pondo. Ang dalawa pa ay may mga transaksyon papunta at mula sa mga sentralisadong palitan, na inalertuhan upang matukoy ang mga salarin at mabawi ang mga pondo.
I-update:
– 4 na indibidwal ang natukoy na account para sa 95%+ ng natanto na halaga ng pagsasamantala.
– 2 sa 4 na indibidwal ang aktibong nagpahayag ng layunin na ibalik nang buo ang pinagsamantalang halaga.
— Osmosis ? (@osmosiszone) Hunyo 8, 2022
Halos isang oras pagkatapos ng Tweet ng Osmosis tungkol sa mga umaatake, ang FireStake — isang validator sa Cosmos ecosystem — ay sumulong sa isang Tweet at inamin na sinasamantala ang LP bug ngunit nabanggit na sinusubukan nilang "itama ang mga bagay" at nakikipagtulungan sa koponan ng Osmosis ibalik ang pinagsasamantalahang pondo.
Mahal @osmosiszone komunidad, marami sa inyo ang nakakaalam tungkol sa Osmosis LP bug na naganap kahapon.
Sa hindi paniniwalang ito ay totoo, dalawang miyembro ng @fire_stake sinimulan ang pagsubok upang makita kung umiiral ang bug, ang pagsubok ay lumago sa isang pansamantalang paglipas sa mabuting paghuhusga, at...
— FireStake | Validator (@stake_fire) Hunyo 8, 2022
sa proseso, nagawa naming i-convert ang $226 USD sa ~$2M. Iniisip namin ang kinabukasan ng aming pamilya, at hindi ang kinabukasan ng aming komunidad.
Di-nagtagal pagkatapos gawin ito, idiniin namin sa buong gabi kung paano namin maiaayos ang mga bagay-bagay. Kasalukuyan kaming nakikipagtulungan sa Osmosis team…
— FireStake | Validator (@stake_fire) Hunyo 8, 2022
upang maibalik ang mga pondo sa lalong madaling panahon. Nakikipagtulungan din kami sa Osmosis team para hikayatin ang sinumang nagsamantala sa sitwasyong ito na mangyaring sumulong at magbalik ng mga pondo.
Maaari kang pumunta sa amin, at maaari kaming tumulong na kumilos bilang isang tagapag-ugnay. Kailangan nating gawin itong tama.
— FireStake | Validator (@stake_fire) Hunyo 8, 2022
Pinagmulan: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/