滲透,一種 去中心化交易所(DEX) 建立在Cosmos 網絡上,在美國東部時間週三凌晨3:00 之前停止,因為攻擊者利用了大約500 萬美元的流動性提供者(LP) 漏洞。
錯誤是第一個 確定 在Cosmos Network 官方頁面上的Reddit 帖子中。用戶Straight-Hat3855 引起了人們對Osmosis (OSMO) 的“嚴重問題”的關注,該問題允許用戶通過簡單地添加和移除流動性來任意將LP 增長50%。 Reddit 帖子很快被刪除,但在惡意行為者利用該漏洞之前,該漏洞從Osmosis 交易所的流動資金池中移除了大約500 萬美元。
在利用和識別LP 漏洞之後,Osmosis 交易所在區塊高度4,713,064 處停止, 根據 來自Osmosis 區塊瀏覽器Mintscan 的公告。
項目主持人RoboMcGobo 在Osmosis Discord 的一系列帖子中解釋了該漏洞是如何工作的,他詳細說明了該漏洞如何允許攻擊者向任何Osmosis LP 增加流動性,然後立即將其撤回,以獲得150% 的初始存款回報:“基本上,該功能將為加入提供50% 的LP 股份,”RoboMcGobo 週三下午4:00 後寫道,並補充道:“如果一個人應該獲得10 股LP 股份,那麼將實現15 股。”
RoboMcGobo 解釋說,該漏洞是“少數用戶有意利用的”,“似乎是其他一些人無意中利用的”。根據Osmosis 的一條推特帖子,四名攻擊者對總漏洞利用量的95% 負責,其中兩名攻擊者自願上前返還被盜資金。
更新:
– 已確定4 個人佔已實現利用量的95% 以上。
– 4 人中有2 人主動表示有意全額返還被剝削的金額。
—滲透(@osmosiszone) 2022 年6 月8 日
在Osmosis 關於這次攻擊的推文發布大約一小時後,FireStake Cosmos 生態系統中的驗證者,在Twitter 上發布了一個帖子,承認“暫時的判斷失誤”導致其團隊的兩名成員利用該漏洞花費了大約200 萬美元。
Firestake 告訴他們的1,700 名Twitter 追隨者,他們“正在考慮 [their] 家庭的未來”,當他們繼續利用這個漏洞時。 然而,在承認對事件“整夜壓力”後,他們決定自願歸還資金並“把事情弄清楚”。
親愛的 @osmosiszone 社區,你們中的許多人都知道昨天發生的Osmosis LP 錯誤。
難以置信它是真實的,兩名成員 @fire_stake 開始測試以查看錯誤是否存在,測試變成了良好判斷的暫時失誤,並且……
— FireStake | 驗證者(@stake_fire) 2022 年6 月8 日
根據 根據Osmosis 聯合創始人Sunny Aggarwal 的帖子,另外兩名負責盜竊的黑客向中心化交易所進行了一系列交易,Aggarwal 認為這將使追踪他們變得更加容易。
RoboMcGobo 在項目的Discord 中回應了Aggarwal 的話,“資金已與CEX 賬戶相關聯。 執法部門已經接到通知……我們希望剝削者在這裡做正確的事情,這樣就不需要採取激進的行動了。”