渗透,一个去中心化交易所(DEX) 建立在 Cosmos 网络上,在攻击者利用流动性提供者 (LP) 漏洞损失约 500 万美元后,美国东部标准时间周三凌晨 3:00 之前被暂停。
该错误是第一个 确定 在 Cosmos Network 官方页面的 Reddit 帖子中。用户 Straight-Hat3855 引起了人们对 Osmosis (OSMO) 的一个“严重问题”的关注,该问题允许用户仅通过添加和删除流动性就可以任意增加 LP 50%。Reddit 帖子很快被删除,但在恶意之前没有删除参与者利用了这个漏洞,从 Osmosis 交易所的流动资金池中移除了大约 500 万美元。
在利用和识别 LP 错误之后,Osmosis 交易所在 4,713,064 的区块高度停止,根据 来自 Osmosis 区块浏览器 Mintscan 的公告。
项目主持人 RoboMcGobo 在 Osmosis Discord 的一系列帖子中解释了该漏洞是如何工作的,他详细说明了该漏洞如何允许攻击者向任何 Osmosis LP 增加流动性,然后立即将其撤回以获得初始存款的 150% 回报:“本质上, 该功能将为加入提供 50% 的 LP 股份,”RoboMcGobo 在周三下午 4:00 后写道,并补充道:“如果一个人应该获得 10 股 LP,那么将获得 15 股。”
RoboMcGobo 解释说,该漏洞“被少数用户有意利用”和“其他一些人似乎无意中利用了”。 根据 Osmosis 的 Twitter 线程,四名攻击者对总利用量的 95% 负责,其中其中两名袭击者自愿上前归还被盗资金。
在 Osmosis 发布有关此次攻击的推文后大约一小时,FireStake,一个Cosmos 生态系统中的验证者 ,发布了一条 Twitter 帖子,承认“暂时的良好判断失误”导致其团队的两名成员利用该漏洞损失了大约 200 万美元。
Firestake 告诉他们的 1,700 名 Twitter 粉丝,当他们继续利用该漏洞时,他们正在“考虑 [他们] 家人的未来”。然而,在承认为此事件“彻夜强调”之后,他们决定自愿退还资金并“解决问题”。
根据 根据 Osmosis 联合创始人 Sunny Aggarwal 的帖子,负责盗窃的另外两名黑客向中心化交易所进行了一系列交易,Aggarwal 认为这将使追踪他们变得更容易。
RoboMcGobo 在项目的 Discord 中回应了 Aggarwal 的话,“资金已与 CEX 账户相关联。执法部门已接到通知……我们希望剥削者在这里做正确的事,这样就没有必要采取激进行动了。”