Pada 7 Juni, seseorang memposting benang reddit yang kemudian dihapus oleh moderator forum. Utas berisi klaim serius — jaringan Osmosis memiliki bug yang memungkinkan penyedia likuiditas mendapatkan tambahan 50% saat menambah dan menarik likuiditas.
Osmosis (osmos) adalah blockchain di ekosistem Cosmos yang menawarkan pertukaran dan dompet terdesentralisasi.
Klaim tampaknya tidak mungkin sampai jaringan dihentikan untuk pemeliharaan darurat.
Halo @osmosiszone teman-teman. Pada blok #4713064 rantai Osmosis telah dihentikan untuk pemeliharaan darurat.
Saat ini Osmosis DEX dan Wallet tidak dapat dioperasikan, hingga perbaikan selesai.
?Tolong tunggu selagi Dev bekerja untuk membuat kami kembali.
— ??KaisarOsmo(Node Hathor)?? (@Flowslikeosmo) Juni 8, 2022
Meskipun tim Osmosis tidak mengakui eksploitasi pada saat itu, penghentian terjadi setelah beberapa penyerang menghabiskan sekitar $ 5 juta.
Kolam likuiditas TIDAK “sepenuhnya terkuras”.
Pengembang sedang memperbaiki bug, melingkupi ukuran kerugian (kemungkinan dalam kisaran ~$5 juta), dan bekerja pada pemulihan.
Info lebih lanjut akan datang. https://t.co/WOu7MMgSUM
- Osmosis? (@osmosiszone) Juni 8, 2022
Tim Osmosis telah mengidentifikasi bug dan mengembangkan patch yang sedang diuji sebelum penerapan. Pengembang masih bekerja untuk memulai ulang jaringan.
Pembaruan: Bug telah diidentifikasi dan tambalan ditulis.
Lebih banyak pengujian sedang berlangsung sebelum validator direkomendasikan untuk mengoordinasikan restart.
Laporan bug lengkap dan rencana tindakan untuk pengujian ujung ke ujung yang lebih menyeluruh dan tepat dari pemutakhiran rantai untuk diikuti dalam beberapa hari mendatang. https://t.co/DjJMOEQxrT
- Osmosis? (@osmosiszone) Juni 8, 2022
Jadi beginilah cara penyerang berhasil mengeksploitasi jaringan, seperti yang ditunjukkan oleh aktivitas on-chain:
Seorang pengguna Twitter menunjukkan di utas bahwa salah satu penyerang menambahkan likuiditas dalam bentuk USD Coin (USDC) dan OSMO. Penyerang kemudian menerima token LP GAMM sebagai imbalannya, yang mewakili bagian mereka di kumpulan. Para pelaku ini segera menarik token LP GAMM, sehingga mendapatkan tambahan 50% dari jumlah USDC dan OSMO yang telah ditambahkan sebagai likuiditas.
Pertama, tampaknya subredditer menyebut ini beberapa waktu lalu – jadi bantulah mereka.
Jadi dompet (osmo1hq) adalah pengeksploitasi.
Pertama dia memberikan Likuiditas dalam bentuk $ USDC (Saya memverifikasi ini dalam kode sumber) + $OSMO
Dia kemudian menerima $GAMM Token LP sebagai imbalannya. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Juni 8, 2022
Pelaku kemudian menukar token OSMO dengan ATOM dan mengirimkannya ke dompet lain. Proses yang sama ini berulang-ulang — setiap kali penyerang mendapatkan 50% lebih banyak token.
Sebagian besar hasil di OSMO ditukar dengan ATOM dan ditransfer ke dompet yang berisi token ATOM senilai $9 juta, kata utas Twitter. Namun, dompet ini tidak termasuk token USDC yang diperoleh penyerang dengan mengeksploitasi bug — token USDC tidak ditukar atau ditransfer, utas menambahkan.
Setelah dia bersenang-senang,
Dia mengirim $ ATOM keluar ke rantai dompet lainnya.
Sulit untuk mengatakannya di https://t.co/o02L0T5QtQ pemindai berapa totalnya, tetapi saya melacak dompet dan ... pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Juni 8, 2022
Osmosis mengidentifikasi penyerang; FireStake muncul
Empat penyerang telah diidentifikasi sebagai pelaku utama yang mencuri lebih dari 95% dari jumlah yang dieksploitasi, menurut utas Twitter oleh Osmosis. Dua dari empat penyerang secara sukarela mengembalikan dana yang dicuri sepenuhnya. Dua lainnya memiliki transaksi ke dan dari bursa terpusat, yang telah diperingatkan untuk mengidentifikasi pelaku dan memulihkan dana.
Update:
– 4 individu telah diidentifikasi yang menyumbang 95%+ dari jumlah eksploitasi yang direalisasikan.
– 2 dari 4 individu secara proaktif menyatakan niat untuk mengembalikan jumlah yang dieksploitasi secara penuh.
- Osmosis? (@osmosiszone) Juni 8, 2022
Hampir satu jam setelah Tweet Osmosis mengenai penyerang, FireStake — validator di ekosistem Cosmos — maju dalam Tweet dan mengaku mengeksploitasi bug LP tetapi mencatat bahwa mereka mencoba untuk "menyetel semuanya dengan benar" dan bekerja dengan tim Osmosis mengembalikan dana yang telah dieksploitasi.
Sayang @osmosiszone komunitas, banyak dari Anda tahu tentang bug Osmosis LP yang terjadi kemarin.
Tidak percaya itu nyata, dua anggota @api_stake mulai menguji untuk melihat apakah bug itu ada, pengujian berkembang menjadi selang sementara dalam penilaian yang baik, dan…
— Taruhan Api | Validator (@stake_fire) Juni 8, 2022
dalam prosesnya, kami berhasil mengonversi $226 USD menjadi ~$2 juta. Kami memikirkan masa depan keluarga kami, dan bukan masa depan komunitas kami.
Tak lama setelah melakukannya, kami menekankan sepanjang malam tentang bagaimana kami dapat mengatur segalanya dengan benar. Kami sedang bekerja dengan tim Osmosis…
— Taruhan Api | Validator (@stake_fire) Juni 8, 2022
untuk mengembalikan dana sesegera mungkin. Kami juga bekerja sama dengan tim Osmosis untuk mendorong siapa pun yang memanfaatkan situasi ini untuk maju dan mengembalikan dana.
Anda dipersilakan untuk datang kepada kami, dan kami dapat membantu bertindak sebagai penghubung. Kita perlu membuat ini benar.
— Taruhan Api | Validator (@stake_fire) Juni 8, 2022
Sumber: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/