Il 7 giugno qualcuno ha pubblicato a filetto reddit che è stato successivamente cancellato dal moderatore del forum. Il thread conteneva un'affermazione seria: la rete Osmosis aveva un bug che consentiva ai fornitori di liquidità di guadagnare un 50% in più aggiungendo e ritirando liquidità.
osmosi (OSMO) è una blockchain nell'ecosistema Cosmos che offre uno scambio e un portafoglio decentralizzati.
L'affermazione è apparsa improbabile fino a quando la rete non è stata interrotta per manutenzione di emergenza.
Ciao @osmosizone gli amici. A partire dal blocco #4713064 la catena di osmosi è stata interrotta per manutenzione di emergenza.
In questo momento Osmosis DEX e Wallet non sono operativi, fino al completamento delle riparazioni.
?Per favore restate in attesa mentre gli sviluppatori lavorano per farci tornare.
— ??EmperorOsmo(Nodi Hathor)?? (@Flowslikeosmo) 8 Giugno 2022
Sebbene il team di Osmosis non abbia riconosciuto un exploit in quel momento, l'arresto è avvenuto dopo che alcuni attaccanti hanno prosciugato circa $ 5 milioni.
I pool di liquidità NON sono stati "completamente drenati".
Gli sviluppatori stanno risolvendo il bug, valutando l'entità delle perdite (probabilmente nell'intervallo di ~ $ 5 milioni) e lavorando al ripristino.
Maggiori informazioni a venire. https://t.co/WOu7MMgSUM
— Osmosi? (@osmosizona) 8 Giugno 2022
Il team di Osmosis ha identificato il bug e sviluppato una patch che viene testata prima dell'implementazione. Gli sviluppatori stanno ancora lavorando per riavviare la rete.
Aggiornamento: il bug è stato identificato e scritta una patch.
Sono in corso ulteriori test prima che si raccomandi ai validatori di coordinare un riavvio.
Report completo sui bug e piano d'azione per un test end-to-end più completo e corretto degli aggiornamenti della catena che seguiranno nei prossimi giorni. https://t.co/DjJMOEQxrT
— Osmosi? (@osmosizona) 8 Giugno 2022
Ecco quindi come gli aggressori sono riusciti a sfruttare la rete, come dimostra l'attività on-chain:
Un utente di Twitter ha sottolineato in un thread che uno degli aggressori ha aggiunto liquidità sotto forma di USD Coin (USDC) e OSMO. L'attaccante ha quindi ricevuto in cambio token GAMM LP, che rappresentavano la loro quota nel pool. Questi autori hanno immediatamente ritirato i token GAMM LP, guadagnando così il 50% in più rispetto alla quantità di USDC e OSMO che era stata aggiunta come liquidità.
Prima di tutto, a quanto pare un subredditer lo ha chiamato qualche tempo fa, quindi propendiamo per loro.
➼ Quindi il portafoglio (osmo1hq) è lo sfruttatore.
In primo luogo fornisce liquidità sotto forma di $ USDC (L'ho verificato nel codice sorgente) + $OSMO
Quindi riceve $GAMM Gettoni LP in cambio. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) 8 Giugno 2022
L'autore ha quindi scambiato i token OSMO con ATOM e li ha inviati ad altri portafogli. Questo stesso processo è stato ripetuto più e più volte, ogni volta che l'attaccante ha guadagnato il 50% di token in più.
La maggior parte dei proventi di OSMO sono stati scambiati con ATOM e trasferiti a un portafoglio che contiene token ATOM per un valore di 9 milioni di dollari, afferma il thread di Twitter. Tuttavia, questo portafoglio non includeva i token USDC che l'attaccante ha guadagnato sfruttando il bug: i token USDC non sono stati né scambiati né trasferiti, ha aggiunto il thread.
Una volta che si è divertito,
➼ Manda il $ ATOM verso una catena di altri portafogli.
È difficile dire sul https://t.co/o02L0T5QtQ scanner quanto era in totale, ma ho rintracciato i portafogli e... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) 8 Giugno 2022
L'osmosi identifica gli aggressori; FireStake si fa avanti
Secondo un thread di Twitter di Osmosis, quattro aggressori sono stati identificati come i principali responsabili che hanno rubato oltre il 95% dell'importo sfruttato. Due dei quattro aggressori si sono offerti volontari per restituire i fondi rubati completi. Gli altri due hanno transazioni da e verso borse centralizzate, che sono state allertate per identificare gli autori e recuperare i fondi.
Aggiornare:
– Sono state identificate 4 persone che rappresentano oltre il 95% dell'importo dell'exploit realizzato.
– 2 persone su 4 hanno espresso proattivamente l'intenzione di restituire l'intero importo sfruttato.
— Osmosi? (@osmosizona) 8 Giugno 2022
Appena un'ora dopo il Tweet di Osmosis sugli aggressori, FireStake, un validatore nell'ecosistema Cosmos, si è fatto avanti in un Tweet e ha ammesso di aver sfruttato il bug di LP, ma ha notato che stanno cercando di "sistemare le cose" e di lavorare con il team di Osmosis restituire i fondi sfruttati.
caro @osmosizone community, molti di voi conoscono il bug di Osmosis LP che si è verificato ieri.
Increduli che fosse reale, due membri di @fire_stake ha iniziato a testare per vedere se il bug esisteva, i test sono diventati una temporanea mancanza di giudizio e...
— FireStake | Validatore (@stake_fire) 8 Giugno 2022
nel processo, siamo riusciti a convertire $ 226 USD in ~ $ 2 milioni. Stavamo pensando al futuro della nostra famiglia, e non al futuro della nostra comunità.
Poco dopo averlo fatto, abbiamo sottolineato per tutta la notte come possiamo sistemare le cose. Attualmente stiamo lavorando con il team di Osmosis...
— FireStake | Validatore (@stake_fire) 8 Giugno 2022
restituire i fondi il prima possibile. Stiamo anche lavorando con il team di Osmosis per incoraggiare chiunque altro abbia approfittato di questa situazione a farsi avanti e restituire i fondi.
Puoi venire da noi e possiamo aiutarti a fare da collegamento. Dobbiamo sistemare tutto questo.
— FireStake | Validatore (@stake_fire) 8 Giugno 2022
Fonte: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/