삼투, 분산 교환 (DEX) Cosmos 네트워크를 기반으로 구축된 이 서비스는 공격자가 약 3만 달러에 달하는 유동성 공급자(LP) 버그를 악용한 후 수요일 오전 00시(EST) 직전에 중단되었습니다.
버그가 먼저였다 확인 공식 Cosmos Network 페이지의 Reddit 게시물에서. 사용자 Straight-Hat3855는 단순히 유동성을 추가하고 제거하는 것만으로 사용자가 임의로 LP를 50%까지 늘릴 수 있는 Osmosis(OSMO)의 "심각한 문제"에 주목했습니다. Reddit 게시물은 빠르게 제거되었지만 악의적인 행위자가 버그를 이용하기 전에는 그렇지 않았습니다. 이로 인해 Osmosis 거래소의 유동성 풀에서 약 5만 달러가 제거되었습니다.
익스플로잇과 LP 버그 식별 이후 Osmosis 거래소는 블록 높이 4,713,064에서 중단되었습니다. 따라 Osmosis 블록 탐색기 Mintscan의 발표입니다.
Osmosis Discord의 일련의 게시물에서 버그가 어떻게 작동하는지 설명하는 프로젝트 중재자 RoboMcGobo는 이 결함으로 인해 공격자가 어떻게 Osmosis LP에 유동성을 추가한 다음 즉시 인출하여 초기 예치금의 150% 수익을 얻을 수 있었는지 자세히 설명했습니다. RoboMcGobo는 수요일 오후 50시 직후에 이렇게 썼습니다. "4개의 LP 공유를 받아야 한다면 00개가 달성될 것입니다."
RoboMcGobo는 이 버그가 “소수의 사용자에 의해 의도적으로 악용”되었으며 “의도하지 않은 것처럼 보이는 일부 다른 사용자에 의해 악용되었습니다”라고 설명했습니다. Osmosis의 트위터 스레드에 따르면 95명의 공격자가 전체 익스플로잇 금액의 XNUMX%를 차지했으며, 공격자 중 XNUMX명은 훔친 자금을 반환하기 위해 자발적으로 나섰습니다.
업데이트 :
– 실현된 익스플로잇 금액의 4% 이상을 차지하는 95명의 개인이 식별되었습니다.
– 2명 중 4명은 착취 금액 전액을 반환할 의사를 적극적으로 표명했습니다.
— 오스모시스 (@osmosiszone) 2023년 6월 28일
공격에 관한 Osmosis의 트윗 이후 약 XNUMX시간 후, FireStake, 코스모스 생태계의 검증인, 트위터 스레드를 게시하여 "좋은 판단의 일시적인 실수"로 인해 팀의 두 구성원이 약 2만 달러 규모로 버그를 악용했다는 사실을 인정했습니다.
Firestake는 1,700명의 트위터 팔로워에게 버그를 계속 악용할 때 "가족의 미래에 대해 생각하고 있다"고 말했습니다. 하지만 사건에 대해 '밤새도록 스트레스를 받았다'고 인정한 뒤 자진해서 '정돈'을 하기로 했다.
친애하는 @osmosiszone 커뮤니티, 어제 발생한 Osmosis LP 버그에 대해 많은 분들이 알고 있습니다.
현실이 믿기지 않아 두 멤버는 @fire_stake 버그가 존재하는지 확인하기 위해 테스트를 시작했고, 테스트는 현명한 판단으로 일시적인 실수로 발전했고…
— FireStake | 검증인(@stake_fire) 2023년 6월 28일
에 따르면 Osmosis의 공동 창립자인 Sunny Aggarwal의 게시물에 따르면, 절도에 책임이 있는 다른 두 해커는 중앙 집중식 거래소에 일련의 거래를 했으며, Aggarwal은 이를 통해 추적이 더 쉬워질 것이라고 믿습니다.
RoboMcGobo는 프로젝트의 Discord에서 Aggarwal의 말을 되풀이했습니다. “자금이 CEX 계정에 연결되었습니다. 법 집행 기관에 통보되었습니다… 우리는 공격적인 행동이 필요하지 않도록 착취자들이 여기서 옳은 일을 하기를 바랍니다.”
출처: https://cointelegraph.com/news/attackers-loot-5m-from-osmosis-in-lp-exploit-2m-returned-soon-after