Am 7. Juni postete jemand a reddit-Thread das wurde später vom Moderator des Forums gelöscht. Der Thread enthielt eine ernsthafte Behauptung – das Osmosis-Netzwerk hatte einen Fehler, der es Liquiditätsanbietern ermöglichte, beim Hinzufügen und Abheben von Liquidität zusätzliche 50 % zu verdienen.
Osmose (OSMO) ist eine Blockchain im Cosmos-Ökosystem, die eine dezentrale Börse und Brieftasche bietet.
Die Behauptung erschien unwahrscheinlich, bis das Netzwerk für Notwartungen angehalten wurde.
Hallo @osmosezone Freunde. Ab Block Nr. 4713064 wurde die Osmose-Kette für Notwartungen angehalten.
Zu diesem Zeitpunkt sind Osmosis DEX und Wallet außer Betrieb, bis die Reparatur abgeschlossen ist.
?Bitte halte dich bereit, während die Entwickler daran arbeiten, uns wieder zum Laufen zu bringen.
— ??EmperorOsmo(Hathor-Knoten)?? (@Flowslikeosmo) 8. Juni 2022
Obwohl das Osmosis-Team damals einen Exploit nicht anerkannte, kam es zum Stopp, nachdem einige Angreifer rund 5 Millionen US-Dollar abgezogen hatten.
Liquiditätspools wurden NICHT „vollständig geleert“.
Die Entwickler beheben den Fehler, bestimmen die Größe der Verluste (wahrscheinlich im Bereich von etwa 5 Millionen US-Dollar) und arbeiten an der Wiederherstellung.
Weitere Infos folgen. https://t.co/WOu7MMgSUM
— Osmose? (@osmosezone) 8. Juni 2022
Das Osmosis-Team hat den Fehler identifiziert und einen Patch entwickelt, der vor der Bereitstellung getestet wird. Die Entwickler arbeiten noch am Neustart des Netzwerks.
Update: Der Fehler wurde identifiziert und ein Patch geschrieben.
Weitere Tests sind im Gange, bevor Validierern empfohlen wird, einen Neustart zu koordinieren.
Vollständiger Fehlerbericht und Aktionsplan für gründlichere und ordnungsgemäßere End-to-End-Tests von Ketten-Upgrades folgen in den kommenden Tagen. https://t.co/DjJMOEQxrT
— Osmose? (@osmosezone) 8. Juni 2022
So gelang es den Angreifern, das Netzwerk auszunutzen, wie die On-Chain-Aktivität zeigt:
Ein Twitter-Nutzer wies in einem Thread darauf hin, dass einer der Angreifer Liquidität in Form von USD Coin (USDC) und OSMO. Der Angreifer erhielt dann im Gegenzug GAMM-LP-Token, die seinen Anteil am Pool darstellten. Diese Täter zogen die GAMM-LP-Token sofort ab und gewannen dadurch 50 % mehr als die Menge an USDC und OSMO, die als Liquidität hinzugefügt wurden.
Zunächst einmal hat anscheinend ein Subredditer dies vor einiger Zeit ausgerufen – also Requisiten an sie.
➼ Das Wallet (osmo1hq) ist also der Exploiter.
Zunächst stellt er Liquidität in Form von zur Verfügung USDC (Ich habe dies im Quellcode überprüft) + $OSMO
Er erhält dann $GAMM LP-Token im Gegenzug. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) 8. Juni 2022
Anschließend tauschte der Täter die OSMO-Token gegen ATOM und schickte sie an andere Wallets. Derselbe Vorgang wurde immer wieder wiederholt – jedes Mal, wenn der Angreifer 50 % mehr Token erhielt.
Der Großteil des Erlöses aus OSMO wurde gegen ATOM getauscht und in eine Brieftasche überwiesen, die ATOM-Token im Wert von 9 Millionen Dollar enthält, so der Twitter-Thread. Diese Brieftasche enthielt jedoch nicht die USDC-Token, die der Angreifer durch Ausnutzen des Fehlers erhalten hatte – die USDC-Token wurden weder ausgetauscht noch übertragen, fügte der Thread hinzu.
Sobald er seinen Spaß hatte,
➼ Er schickt die $ ATOM heraus zu einer Kette von anderen Wallets.
Es ist schwer zu sagen https://t.co/o02L0T5QtQ scannen, wie viel es insgesamt war, aber ich habe die Brieftaschen verfolgt und … pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) 8. Juni 2022
Osmose identifiziert Angreifer; FireStake kommt hervor
Laut einem Twitter-Thread von Osmosis wurden vier Angreifer als Haupttäter identifiziert, die über 95 % der ausgebeuteten Menge gestohlen haben. Zwei der vier Angreifer haben sich bereit erklärt, die gesamten gestohlenen Gelder zurückzugeben. Die anderen beiden haben Transaktionen zu und von zentralisierten Börsen, die alarmiert wurden, um die Täter zu identifizieren und die Gelder zurückzufordern.
Update:
– 4 Personen wurden identifiziert, die über 95 % des realisierten Exploit-Betrags ausmachen.
– 2 der 4 Personen haben proaktiv die Absicht bekundet, den genutzten Betrag vollständig zurückzugeben.
— Osmose? (@osmosezone) 8. Juni 2022
Knapp eine Stunde nach dem Tweet von Osmosis bezüglich der Angreifer meldete sich FireStake – ein Validator im Cosmos-Ökosystem – in einem Tweet und gab zu, den LP-Fehler ausgenutzt zu haben, merkte aber an, dass sie versuchen, „die Dinge in Ordnung zu bringen“ und mit dem Osmosis-Team zusammenarbeiten die verausgabten Gelder zurückzugeben.
sehr geehrter @osmosezone Community wissen viele von Ihnen von dem Osmosis-LP-Fehler, der gestern aufgetreten ist.
Im Unglauben, dass es echt ist, zwei Mitglieder von @fire_stake mit dem Testen begonnen, um zu sehen, ob der Fehler existierte, das Testen entwickelte sich zu einem vorübergehenden Mangel an gutem Urteilsvermögen, und …
— FireStake | Prüfer (@stake_fire) 8. Juni 2022
Dabei gelang es uns, 226 USD in ~ 2 Mio. USD umzuwandeln. Wir dachten an die Zukunft unserer Familie und nicht an die Zukunft unserer Gemeinde.
Kurz darauf haben wir die ganze Nacht über gestresst, wie wir die Dinge richtig stellen können. Wir arbeiten derzeit mit dem Osmosis-Team zusammen…
— FireStake | Prüfer (@stake_fire) 8. Juni 2022
um das Geld so schnell wie möglich zurückzugeben. Wir arbeiten auch mit dem Osmosis-Team zusammen, um alle anderen, die diese Situation ausgenutzt haben, zu ermutigen, sich zu melden und Geld zurückzugeben.
Sie können gerne zu uns kommen, und wir können Ihnen dabei helfen, als Verbindungsperson zu fungieren. Wir müssen das richtig machen.
— FireStake | Prüfer (@stake_fire) 8. Juni 2022
Quelle: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/