در 7 ژوئن، شخصی یک پست ارسال کرد موضوع ق که بعدا توسط مدیر انجمن حذف شد. این موضوع حاوی یک ادعای جدی بود - شبکه اسموز یک اشکال داشت که به ارائهدهندگان نقدینگی اجازه میداد تا 50 درصد اضافی در هنگام اضافه کردن و برداشت نقدینگی کسب کنند.
اسمز (OSMO) یک بلاک چین در اکوسیستم کیهان است که یک صرافی و کیف پول غیرمتمرکز ارائه می دهد.
این ادعا تا زمانی که شبکه برای تعمیر و نگهداری اضطراری متوقف شد، غیرمحتمل به نظر می رسید.
سلام osmosiszone دوستان. از بلوک #4713064 زنجیره اسمز برای تعمیر و نگهداری اضطراری متوقف شده است.
در این زمان Osmosis DEX و Wallet تا زمانی که تعمیرات کامل نشود، غیر قابل استفاده هستند.
?لطفاً تا زمانی که توسعه دهندگان برای بازگرداندن ما کار می کنند، کنار باشید.
- ??EmperorOsmo(Hathor Nodes)?? (@Flowslikeosmo) ژوئن 8، 2022
اگرچه تیم Osmosis در آن زمان سوء استفاده را تأیید نکرد، اما پس از آن که چند مهاجم حدود 5 میلیون دلار خرج کردند، متوقف شد.
استخرهای نقدینگی «کاملاً تخلیه نشدند».
توسعه دهندگان در حال رفع اشکال هستند، اندازه ضرر (احتمالاً در محدوده 5 میلیون دلار) را تعیین می کنند و روی بازیابی کار می کنند.
اطلاعات بیشتر در راه است. https://t.co/WOu7MMgSUM
- اسمز؟ (@osmosiszone) ژوئن 8، 2022
تیم Osmosis باگ را شناسایی کرده و یک وصله ایجاد کرده است که قبل از استقرار در حال آزمایش است. توسعه دهندگان همچنان در حال کار بر روی راه اندازی مجدد شبکه هستند.
به روز رسانی: باگ شناسایی شده و یک پچ نوشته شده است.
قبل از اینکه اعتبارسنجیها برای هماهنگی راهاندازی مجدد توصیه شوند، آزمایشهای بیشتری در حال انجام است.
گزارش کامل اشکال و برنامه اقدام برای آزمایش کامل تر و مناسب تر و پایان تا پایان به روز رسانی های زنجیره ای که در روزهای آینده دنبال می شود. https://t.co/DjJMOEQxrT
- اسمز؟ (@osmosiszone) ژوئن 8، 2022
بنابراین، همانطور که توسط فعالیت زنجیره ای نشان داده شده است، مهاجمان چگونه توانستند از شبکه سوء استفاده کنند:
یکی از کاربران توییتر در موضوعی اشاره کرد که یکی از مهاجمان نقدینگی را به شکل USD Coin اضافه کرده است.USDC) و OSMO. مهاجم سپس توکن های GAMM LP را در ازای دریافت کرد که نشان دهنده سهم آنها در استخر بود. این مجرمان بلافاصله توکنهای GAMM LP را پس گرفتند و در نتیجه 50 درصد بیشتر از مقدار USDC و OSMO که به عنوان نقدینگی اضافه شده بود، به دست آوردند.
اول از همه، ظاهراً یک subredditer مدتی قبل این را صدا کرد - پس به آنها کمک کنید.
➼ بنابراین کیف پول (osmo1hq) استثمارگر است.
ابتدا نقدینگی را در قالب ارائه می کند $ USDC (من این را در کد منبع تأیید کردم) + $ OSMO
سپس دریافت می کند $GAMM توکن های LP در ازای آن. pic.twitter.com/K3JzrDRPMN
— آنده #OnChain (@0xLosingMoney) ژوئن 8، 2022
سپس مجرم توکنهای OSMO را با ATOM عوض کرد و آنها را به کیف پولهای دیگر فرستاد. همین فرآیند بارها و بارها تکرار شد - هر بار که مهاجم 50٪ توکن بیشتری به دست آورد.
در تاپیک توییتر آمده است که بیشتر درآمدهای OSMO با ATOM مبادله شد و به کیف پولی که حاوی 9 میلیون دلار توکن ATOM بود، منتقل شد. با این حال، این کیف پول شامل توکنهای USDC نمیشود که مهاجم با بهرهبرداری از باگ به دست آورده است – توکنهای USDC نه تعویض شدند و نه منتقل شدند.
زمانی که او سرگرم شد،
➼ او می فرستد $ ATOM به زنجیره ای از کیف پول های دیگر.
گفتن در مورد آن سخت است https://t.co/o02L0T5QtQ اسکنر در کل چقدر بود، اما کیف پول ها را ردیابی کردم و… pic.twitter.com/dchu2pDgQG
— آنده #OnChain (@0xLosingMoney) ژوئن 8، 2022
اسمز مهاجمان را شناسایی می کند. FireStake می آید
بر اساس یک موضوع توییتری توسط Osmosis، چهار مهاجم به عنوان عاملان اصلی شناسایی شده اند که بیش از 95٪ از مقدار سوء استفاده شده را سرقت کرده اند. از هر چهار مهاجم، دو نفر داوطلب شده اند تا کل وجوه دزدیده شده را بازگردانند. دو مورد دیگر تراکنش هایی به صرافی های متمرکز دارند که برای شناسایی عاملان و بازیابی وجوه به آنها هشدار داده شده است.
به روز رسانی:
- 4 نفر شناسایی شده اند که بیش از 95% از میزان بهره برداری محقق شده را تشکیل می دهند.
– از هر 2 نفر، 4 نفر به طور فعال قصد بازگرداندن مبلغ مورد بهره برداری را به طور کامل ابراز کرده اند.
- اسمز؟ (@osmosiszone) ژوئن 8، 2022
تقریباً یک ساعت پس از توییت Osmosis در مورد مهاجمان، FireStake - یک تایید کننده در اکوسیستم Cosmos - در توییتی ظاهر شد و اعتراف کرد که از باگ LP سوء استفاده کرده است، اما خاطرنشان کرد که آنها در تلاش هستند تا اوضاع را درست کنند و با تیم Osmosis همکاری می کنند. برای بازگرداندن وجوه استثمار شده
عزیز osmosiszone جامعه، بسیاری از شما در مورد باگ Osmosis LP که دیروز رخ داد اطلاع دارید.
در ناباوری از واقعی بودن آن، دو عضو از @fire_stake شروع به آزمایش کرد تا ببیند آیا اشکال وجود دارد یا خیر، آزمایش به یک خطای موقت در قضاوت خوب تبدیل شد و…
— FireStake | اعتبار سنجی (@stake_fire) ژوئن 8، 2022
در این فرآیند، ما موفق شدیم 226 دلار آمریکا را به 2 میلیون دلار تبدیل کنیم. ما به آینده خانواده خود فکر می کردیم، نه به آینده جامعه خود.
مدت کوتاهی پس از انجام این کار، ما در طول شب در مورد اینکه چگونه میتوانیم شرایط را درست کنیم، تاکید کردیم. ما در حال حاضر با تیم اسموز کار می کنیم…
— FireStake | اعتبار سنجی (@stake_fire) ژوئن 8، 2022
تا در اسرع وقت وجوه را برگرداند. ما همچنین با تیم Osmosis کار می کنیم تا افراد دیگری را که از این موقعیت سوء استفاده کرده اند تشویق کنیم که لطفاً بیایند و وجوه خود را برگردانند.
خوش آمدید به ما بیایید، و ما می توانیم به عنوان یک رابط عمل کنیم. ما باید این را درست کنیم.
— FireStake | اعتبار سنجی (@stake_fire) ژوئن 8، 2022
منبع: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/