في 7 يونيو ، نشر شخص ما ملف موضوع رديت تم حذفها لاحقًا بواسطة مشرف المنتدى. احتوى الخيط على ادعاء جاد - كان لدى شبكة التناضح خلل سمح لمقدمي السيولة بكسب 50٪ إضافية عند إضافة وسحب السيولة.
التنافذ (OSMO) عبارة عن blockchain في نظام Cosmos البيئي يوفر تبادلًا ومحفظة لامركزية.
وبدا الادعاء غير محتمل إلى أن توقفت الشبكة للصيانة الطارئة.
مرحبا تضمين التغريدة أصدقاء. اعتبارًا من البلوك رقم 4713064 ، تم إيقاف سلسلة التناضح للصيانة الطارئة.
في هذا الوقت ، لا يعمل Osmosis DEX و Wallet ، حتى يتم الانتهاء من الإصلاحات.
؟ يرجى الوقوف جانبا حيث يعمل المطورون على إعادتنا.
- ؟؟ الإمبراطور أوزمو (حتحور العقد) ؟؟ (Flowslikeosmo) 8 حزيران، 2022
على الرغم من أن فريق Osmosis لم يعترف بوجود استغلال في ذلك الوقت ، إلا أن التوقف حدث بعد أن استنفد عدد قليل من المهاجمين حوالي 5 ملايين دولار.
لم تكن تجمعات السيولة "مستنزفة بالكامل".
يعمل المطورون على إصلاح الخطأ ، وتحديد حجم الخسائر (على الأرجح في نطاق ~ 5 مليون دولار) ، والعمل على الاسترداد.
مزيد من المعلومات قادمة. https://t.co/WOu7MMgSUM
- التنافذ ؟ (osmosiszone) 8 حزيران، 2022
حدد فريق Osmosis الخطأ وقام بتطوير رقعة يتم اختبارها قبل النشر. لا يزال المطورون يعملون على إعادة تشغيل الشبكة.
تحديث: تم تحديد الخطأ وكتابة التصحيح.
يتم إجراء المزيد من الاختبارات قبل التوصية بالمصدقين لتنسيق إعادة التشغيل.
تقرير الأخطاء الكامل وخطة العمل لإجراء اختبار شامل ومناسب لترقيات السلسلة للمتابعة في الأيام القادمة. https://t.co/DjJMOEQxrT
- التنافذ ؟ (osmosiszone) 8 حزيران، 2022
إذن هذه هي الطريقة التي تمكن بها المهاجمون من استغلال الشبكة ، كما يتضح من النشاط على السلسلة:
أشار أحد مستخدمي تويتر في سلسلة رسائل إلى أن أحد المهاجمين أضاف سيولة على شكل عملة دولار أمريكي (USDC) و OSMO. ثم تلقى المهاجم رموز GAMM LP في المقابل ، والتي تمثل حصته في المجموعة. قام هؤلاء الجناة على الفور بسحب الرموز المميزة لـ GAMM LP ، وبالتالي كسبوا 50٪ زيادة عن مبلغ USDC و OSMO الذي تمت إضافته كسيولة.
أولاً ، من الواضح أن أحد العاملين في النظام الفرعي قد دعا هذا بعيدًا - لذا دعائم لهم.
➼ إذن المحفظة (osmo1hq) هي المستغل.
أولا يوفر السيولة في شكل $ USDC (لقد تحققت من هذا في الكود المصدري) + OSMO دولار
ثم يتلقى GAMM دولار في المقابل رموز LP. pic.twitter.com/K3JzrDRPMN
- Andeh #OnChain (@ 0xLosingMoney) 8 حزيران، 2022
ثم قام الجاني بتبديل رموز OSMO المميزة بـ ATOM وأرسلها إلى محافظ أخرى. تكررت هذه العملية نفسها مرارًا وتكرارًا - في كل مرة يربح المهاجم رموزًا أكثر بنسبة 50٪.
قال مؤشر ترابط Twitter إن معظم عائدات OSMO تم استبدالها بـ ATOM وتحويلها إلى محفظة تحتوي على رموز ATOM بقيمة 9 ملايين دولار. ومع ذلك ، لم تتضمن هذه المحفظة رموز USDC التي حصل عليها المهاجم من خلال استغلال الخطأ - لم يتم تبديل الرموز المميزة لـ USDC أو نقلها ، كما أضاف الخيط.
بمجرد أن يستمتع ،
يرسل $ ATOM إلى سلسلة محافظ أخرى.
من الصعب معرفة ما إذا كان https://t.co/o02L0T5QtQ الماسح الضوئي كم كان إجماليًا ، لكنني تتبعت المحافظ و ... pic.twitter.com/dchu2pDgQG
- Andeh #OnChain (@ 0xLosingMoney) 8 حزيران، 2022
يحدد التناضح المهاجمين ؛ يأتي FireStake
تم التعرف على أربعة مهاجمين على أنهم الجناة الرئيسيون الذين سرقوا أكثر من 95 ٪ من المبلغ المستغل ، وفقًا لخيط Twitter بواسطة Osmosis. تطوع اثنان من المهاجمين الأربعة لإعادة الأموال المسروقة بالكامل. الاثنان الآخران لهما معاملات من وإلى البورصات المركزية ، والتي تم تنبيهها لتحديد الجناة واستعادة الأموال.
تحديث:
- تم تحديد 4 أفراد يمثلون 95٪ + من مبلغ برمجيات إكسبلويت المحقق.
- عبّر فردان من أصل 2 أفراد بشكل استباقي عن نيتهم في إعادة المبلغ المستغَل بالكامل.
- التنافذ ؟ (osmosiszone) 8 حزيران، 2022
بعد مرور ساعة تقريبًا على تغريدة Osmosis بشأن المهاجمين ، تقدم FireStake - مدقق في نظام Cosmos البيئي - في تغريدة واعترف باستغلال خطأ LP ولكنه أشار إلى أنهم يحاولون "تصحيح الأمور" والعمل مع فريق Osmosis لإعادة الأموال المستغلة.
Dear تضمين التغريدة المجتمع ، يعرف الكثير منكم عن خطأ Osmosis LP الذي حدث بالأمس.
في الكفر من كونها حقيقية ، اثنين من أعضاء تضمين التغريدة بدأ الاختبار لمعرفة ما إذا كان الخطأ موجودًا ، وتطور الاختبار إلى خطأ مؤقت في الحكم الصائب ، و ...
- FireStake | المدقق (stake_fire) 8 حزيران، 2022
في هذه العملية ، تمكنا من تحويل 226 دولارًا أمريكيًا إلى حوالي 2 مليون دولار أمريكي. كنا نفكر في مستقبل عائلتنا وليس مستقبل مجتمعنا.
بعد وقت قصير من القيام بذلك ، أكدنا طوال الليل على كيفية ضبط الأمور في نصابها الصحيح. نحن نعمل حاليًا مع فريق Osmosis ...
- FireStake | المدقق (stake_fire) 8 حزيران، 2022
لإعادة الأموال في أقرب وقت ممكن. نحن نعمل أيضًا مع فريق Osmosis لتشجيع أي شخص آخر استغل هذا الموقف للتقدم وإعادة الأموال.
نرحب بقدومك إلينا ، ويمكننا المساعدة في العمل كحلقة وصل. نحن بحاجة لتصحيح هذا.
- FireStake | المدقق (stake_fire) 8 حزيران، 2022
المصدر: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/