7월 XNUMX일 누군가가 글을 올렸습니다. 레딧 스레드 나중에 포럼 중재자가 삭제했습니다. 이 스레드에는 심각한 주장이 포함되어 있습니다. Osmosis 네트워크에는 유동성 공급자가 유동성을 추가하고 인출할 때 추가로 50%를 얻을 수 있는 버그가 있었습니다.
삼투(Osmos)은 탈중앙화 거래소와 지갑을 제공하는 코스모스 생태계의 블록체인입니다.
긴급 유지보수를 위해 네트워크가 중단되기 전까지 이러한 주장은 있을 수 없는 것처럼 보였습니다.
안녕하세요 @osmosiszone 친구. 블록 #4713064부터 Osmosis 체인은 긴급 유지 보수를 위해 중단되었습니다.
현재 수리가 완료될 때까지 Osmosis DEX와 지갑을 사용할 수 없습니다.
?개발자가 다시 작업할 수 있도록 잠시만 기다려 주십시오.
— ??EmperorOsmo(하토르 노드)?? (@Flowslikeosmo) 2023년 6월 28일
Osmosis 팀은 당시 익스플로잇을 인정하지 않았지만 몇몇 공격자가 약 5만 달러를 빼낸 후 중단되었습니다.
유동성 풀은 "완전히 배수"되지 않았습니다.
개발자는 버그를 수정하고 손실 규모(최대 5만 달러 범위)를 지정하고 복구 작업을 진행하고 있습니다.
더 많은 정보가 제공됩니다. https://t.co/WOu7MMgSUM
— 삼투? (@osmosiszone) 2023년 6월 28일
Osmosis 팀은 버그를 확인하고 배포 전에 테스트 중인 패치를 개발했습니다. 개발자들은 여전히 네트워크를 다시 시작하기 위해 노력하고 있습니다.
업데이트: 버그가 확인되었으며 패치가 작성되었습니다.
재시작을 조정하기 위해 유효성 검사기가 권장되기 전에 더 많은 테스트가 진행 중입니다.
앞으로 체인 업그레이드에 대한 보다 철저하고 적절한 엔드투엔드 테스트를 위한 전체 버그 보고서 및 실행 계획이 제공됩니다. https://t.co/DjJMOEQxrT
— 삼투? (@osmosiszone) 2023년 6월 28일
온체인 활동에서 볼 수 있듯이 공격자가 네트워크를 악용한 방법은 다음과 같습니다.
한 트위터 사용자는 스레드에서 공격자 중 한 명이 USD 코인 형태로 유동성을 추가했다고 지적했습니다.USDC) 및 OSMO. 그런 다음 공격자는 그 대가로 풀에서 자신의 지분을 나타내는 GAMM LP 토큰을 받았습니다. 이들은 즉시 GAMM LP 토큰을 인출해 유동성으로 추가됐던 USDC, OSMO 금액보다 50% 더 많은 수익을 올렸다.
우선, 서브레디터가 얼마 전에 이 내용을 언급한 것으로 보입니다. 그래서 그들에게 제안합니다.
➼ 따라서 지갑(osmo1hq)이 공격자입니다.
먼저 그는 다음과 같은 형태로 유동성을 제공합니다. $ USDC (소스코드에서 확인했습니다) + $OSMO
그런 다음 그는받습니다. $GAMM 그 대가로 LP 토큰. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain(@0xLosingMoney) 2023년 6월 28일
이후 가해자는 OSMO 토큰을 ATOM으로 교환하여 다른 지갑으로 보냈습니다. 이 동일한 프로세스가 계속해서 반복되었습니다. 공격자가 50% 더 많은 토큰을 얻을 때마다.
OSMO의 수익금 대부분은 ATOM으로 교환되어 9만 달러 상당의 ATOM 토큰이 들어 있는 지갑으로 이체되었다고 트위터 스레드는 밝혔습니다. 그러나 이 지갑에는 공격자가 버그를 악용하여 얻은 USDC 토큰이 포함되어 있지 않았습니다. USDC 토큰은 교환되거나 전송되지 않았다고 스레드는 덧붙였습니다.
그가 즐거운 시간을 보낸 후,
➼ 그는 다음을 보낸다. $ ATOM 다른 지갑 체인으로.
현장에서 말씀드리기는 어렵습니다 https://t.co/o02L0T5QtQ 총액이 얼마인지 스캐너로 확인했는데 지갑을 추적해보니… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain(@0xLosingMoney) 2023년 6월 28일
Osmosis는 공격자를 식별합니다. 파이어스테이크(FireStake)가 등장하다
Osmosis의 트위터 스레드에 따르면, 악용된 금액의 95% 이상을 훔친 주요 가해자로 XNUMX명의 공격자가 확인되었습니다. 공격자 XNUMX명 중 XNUMX명은 훔친 자금을 전액 반환하겠다고 자원했습니다. 나머지 두 곳은 중앙화된 거래소와 거래를 하고 있으며, 가해자를 식별하고 자금을 회수하라는 경고를 받았습니다.
업데이트 :
– 실현된 익스플로잇 금액의 4% 이상을 차지하는 95명의 개인이 식별되었습니다.
– 2명 중 4명은 착취 금액 전액을 반환할 의사를 적극적으로 표명했습니다.
— 삼투? (@osmosiszone) 2023년 6월 28일
공격자에 대한 Osmosis의 트윗이 있은 지 불과 XNUMX시간 후, Cosmos 생태계의 검증자인 FireStake는 트윗을 통해 LP 버그를 악용했음을 인정했지만 "상황을 바로잡기 위해" 노력하고 있으며 Osmosis 팀과 협력하고 있다고 언급했습니다. 착취된 자금을 반환합니다.
친애하는 @osmosiszone 커뮤니티, 어제 발생한 Osmosis LP 버그에 대해 많은 분들이 알고 있습니다.
현실이 믿기지 않아 두 멤버는 @fire_stake 버그가 존재하는지 확인하기 위해 테스트를 시작했고, 테스트는 현명한 판단으로 일시적인 실수로 발전했고…
— FireStake | 검증인(@stake_fire) 2023년 6월 28일
그 과정에서 우리는 226억 2만 달러를 ~XNUMX백만 달러로 전환할 수 있었습니다. 우리는 우리 사회의 미래가 아니라 우리 가족의 미래를 생각했습니다.
그렇게 하고 얼마 지나지 않아 우리는 어떻게 하면 바로잡을 수 있는지 밤새도록 강조했습니다. 우리는 현재 Osmosis 팀과 협력하고 있습니다…
— FireStake | 검증인(@stake_fire) 2023년 6월 28일
최대한 빨리 자금을 반환합니다. 우리는 또한 Osmosis 팀과 협력하여 이러한 상황을 이용하고 있는 모든 사람들이 앞으로 나와 자금을 반환하도록 권장하고 있습니다.
저희에게 오실 수 있습니다. 저희가 연락 담당자 역할을 하는 데 도움을 드릴 수 있습니다. 우리는 이것을 바로잡아야 합니다.
— FireStake | 검증인(@stake_fire) 2023년 6월 28일
출처: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/