Osmosis, децентрализованная биржа, построенная на сети Cosmos, была остановлена незадолго до 3:00 по восточному времени 8 июня после того, как злоумышленники воспользовались ошибкой поставщика ликвидности (LP) на сумму примерно 5 миллионов долларов.
Ошибка была впервые обнаружена в сообщении Reddit на официальной странице Cosmos Network. Пользователь Straight-Hat3855 обратил внимание на «серьезную проблему» с осмосом (OSMO), которая позволяла пользователям произвольно увеличивать LP на 50%, просто добавляя и удаляя ликвидность. Сообщение Reddit было быстро удалено, но не раньше, чем злоумышленники воспользовались ошибкой, в результате которой из пулов ликвидности на бирже Osmosis было удалено около 5 миллионов долларов.
Согласно сообщению исследователя блоков Osmosis, Mintscan, после эксплойта и выявления ошибки LP обмен Osmosis был остановлен на высоте блока 4 713 064.
Объясняя, как работала ошибка, в серии постов в Osmosis Discord модератор проекта RoboMcGobo подробно описал, как уязвимость позволяла злоумышленникам добавлять ликвидность к любой LP Osmosis, а затем немедленно снимать ее с возвратом 150% от их первоначального депозита: «По сути,, функция дала бы на 50% больше акций LP для присоединения», — написал RoboMcGobo сразу после 16:00 в среду, добавив: «Если бы кто-то должен был получить 10 акций LP, 15 было бы получено».
RoboMcGobo объяснил, что ошибка была «преднамеренно использована небольшим количеством пользователей» и «по-видимому, непреднамеренно некоторыми другими». Согласно потоку Osmosis в Твиттере, четыре злоумышленника несут ответственность за 95% от общей суммы эксплойта, причем двое из них добровольно выступили вперед, чтобы вернуть украденные средства.
Обновление: – Было выявлено 4 человека, на долю которых приходится 95%+ реализованного количества эксплойтов.- 2 из 4 человек заранее выразили намерение вернуть использованную сумму в полном объеме. — Осмос (@osmosiszone) 8 июня 2022 г.
Примерно через час после твита Osmosis об атаке FireStake, валидатор в экосистеме Cosmos, опубликовал в Твиттере ветку, в которой признал, что «временная ошибка в здравом уме» привела к тому, что два члена его команды использовали ошибку примерно на 2 миллиона долларов..
Firestake сообщил своим 1700 подписчикам в Твиттере, что они «думают о будущем [своей] семьи», когда продолжают использовать ошибку. Однако, признавшись, что «всю ночь нервничали» по поводу этого события, они решили добровольно вернуть средства и «навести порядок».
Уважаемое сообщество @osmosiszone, многие из вас знают о вчерашней ошибке Osmosis LP. Не веря в то, что это реально, два члена @fire_stake начали тестирование, чтобы увидеть, существует ли ошибка, тестирование переросло во временное упущение здравого смысла, и… — FireStake |Валидатор (@stake_fire) 8 июня 2022 г.
Согласно сообщению соучредителя Osmosis Санни Аггарвала, два других хакера, ответственные за кражу, совершили серию транзакций на централизованных биржах, что, по мнению Аггарвала, облегчит их отслеживание.
RoboMcGobo повторил слова Аггарвала в Discord проекта: «Средства были привязаны к счетам CEX. Правоохранительные органы были уведомлены… мы надеемся, что эксплуататоры поступят правильно, так что агрессивные действия не понадобятся».
