7 जून को किसी ने एक पोस्ट किया रेडडिट थ्रेड जिसे बाद में फोरम के मॉडरेटर ने हटा दिया। थ्रेड में एक गंभीर दावा था - ऑस्मोसिस नेटवर्क में एक बग था जो तरलता प्रदाताओं को तरलता जोड़ते और निकालते समय अतिरिक्त 50% कमाने की अनुमति देता था।
परासरण (ओएसएमओ) कॉसमॉस इकोसिस्टम में एक ब्लॉकचेन है जो विकेंद्रीकृत एक्सचेंज और वॉलेट प्रदान करता है।
जब तक आपातकालीन रखरखाव के लिए नेटवर्क बंद नहीं किया गया तब तक यह दावा असंभव प्रतीत हुआ।
नमस्ते @ऑस्मोसिसज़ोन दोस्त। ब्लॉक #4713064 के अनुसार ऑस्मोसिस श्रृंखला को आपातकालीन रखरखाव के लिए रोक दिया गया है।
इस समय मरम्मत पूरी होने तक ऑस्मोसिस डीईएक्स और वॉलेट निष्क्रिय हैं।
?कृपया खड़े रहें क्योंकि देव हमें वापस लाने के लिए काम करते हैं।
- ??सम्राट ओस्मो (हैथोर नोड्स) ?? (@Flowslikeosmo) 8 जून 2022
हालाँकि ऑस्मोसिस टीम ने उस समय किसी कारनामे को स्वीकार नहीं किया था, लेकिन कुछ हमलावरों द्वारा लगभग 5 मिलियन डॉलर उड़ा लेने के बाद यह रुकावट आई।
तरलता पूल "पूरी तरह से सूखा" नहीं थे।
डेवलपर बग को ठीक कर रहे हैं, नुकसान के आकार (~$5M की सीमा में) को कम कर रहे हैं, और वसूली पर काम कर रहे हैं।
अधिक जानकारी आने वाली है। https://t.co/WOu7MMgSUM
- ऑस्मोसिस? (@osmosiszone) 8 जून 2022
ऑस्मोसिस टीम ने बग की पहचान कर ली है और एक पैच विकसित किया है जिसका परिनियोजन से पहले परीक्षण किया जा रहा है। डेवलपर्स अभी भी नेटवर्क को पुनः आरंभ करने पर काम कर रहे हैं।
अद्यतन: बग की पहचान की गई है और एक पैच लिखा गया है।
सत्यापनकर्ताओं को पुनरारंभ करने के समन्वय के लिए अनुशंसा किए जाने से पहले अधिक परीक्षण चल रहा है।
आने वाले दिनों में श्रृंखला उन्नयन के परीक्षण के लिए पूर्ण बग रिपोर्ट और कार्य योजना अधिक गहन और उचित अंत तक। https://t.co/DjJMOEQxrT
- ऑस्मोसिस? (@osmosiszone) 8 जून 2022
तो इस प्रकार हमलावर नेटवर्क का शोषण करने में कामयाब रहे, जैसा कि ऑन-चेन गतिविधि द्वारा दिखाया गया है:
एक ट्विटर उपयोगकर्ता ने एक थ्रेड में बताया कि हमलावरों में से एक ने यूएसडी कॉइन के रूप में तरलता जोड़ी (USDC) और ओएसएमओ। इसके बाद हमलावर को बदले में GAMM LP टोकन प्राप्त हुए, जो पूल में उनके हिस्से का प्रतिनिधित्व करता था। इन अपराधियों ने तुरंत GAMM LP टोकन वापस ले लिए, जिससे तरलता के रूप में जोड़े गए USDC और OSMO की मात्रा से 50% अधिक प्राप्त हुआ।
सबसे पहले, जाहिरा तौर पर कुछ समय पहले एक सबरेडिटर ने इसे बुलाया था - इसलिए उन्हें सहारा।
➼ तो वॉलेट (osmo1hq) शोषक है।
सबसे पहले वह के रूप में Liquidity प्रदान करता है $ USDC (मैंने इसे स्रोत कोड में सत्यापित किया) + $ओएसएमओ
फिर उसे प्राप्त होता है $GAMM बदले में एलपी टोकन। pic.twitter.com/K3JzrDRPMN
- अन्धे #OnChain (@0xLosingMoney) 8 जून 2022
इसके बाद अपराधी ने OSMO टोकन को ATOM से बदल दिया और उन्हें अन्य वॉलेट में भेज दिया। यही प्रक्रिया बार-बार दोहराई गई - हर बार हमलावर को 50% अधिक टोकन प्राप्त हुए।
ट्विटर थ्रेड में कहा गया है कि OSMO में अधिकांश आय को ATOM के लिए स्वैप किया गया था और एक वॉलेट में स्थानांतरित कर दिया गया था जिसमें $9 मिलियन मूल्य के ATOM टोकन थे। हालाँकि, इस वॉलेट में बग का फायदा उठाकर हमलावर द्वारा प्राप्त यूएसडीसी टोकन शामिल नहीं थे - थ्रेड में कहा गया है कि यूएसडीसी टोकन को न तो स्वैप किया गया था और न ही स्थानांतरित किया गया था।
एक बार जब उसने अपना मज़ा ले लिया,
➼ वह भेजता है $ एटम अन्य बटुए की श्रृंखला से बाहर।
पर बताना कठिन है https://t.co/o02L0T5QtQ जांचें कि यह कुल कितना था, लेकिन मैंने बटुए को ट्रैक किया और… pic.twitter.com/dshu2pDgQG
- अन्धे #OnChain (@0xLosingMoney) 8 जून 2022
ऑस्मोसिस हमलावरों की पहचान करता है; फायरस्टेक सामने आता है
ऑस्मोसिस के एक ट्विटर थ्रेड के अनुसार, चार हमलावरों की पहचान मुख्य अपराधियों के रूप में की गई है, जिन्होंने शोषित राशि का 95% से अधिक चुरा लिया। चार हमलावरों में से दो ने स्वेच्छा से चुराई गई पूरी धनराशि लौटाने की पेशकश की है। अन्य दो में केंद्रीकृत एक्सचेंजों से लेनदेन होता है, जिन्हें अपराधियों की पहचान करने और धन की वसूली के लिए सतर्क कर दिया गया है।
अपडेट:
- 4 व्यक्तियों की पहचान की गई है जो कि 95%+ प्राप्त शोषण राशि के लिए जिम्मेदार हैं।
- 2 में से 4 व्यक्तियों ने शोषण की गई राशि को पूर्ण रूप से वापस करने के लिए सक्रिय रूप से इच्छा व्यक्त की है।
- ऑस्मोसिस? (@osmosiszone) 8 जून 2022
हमलावरों के संबंध में ऑस्मोसिस के ट्वीट के बमुश्किल एक घंटे बाद, फायरस्टेक - कॉसमॉस पारिस्थितिकी तंत्र में एक सत्यापनकर्ता - एक ट्वीट में आगे आया और एलपी बग का फायदा उठाने की बात स्वीकार की, लेकिन ध्यान दिया कि वे "चीजों को सही करने" की कोशिश कर रहे हैं और ऑस्मोसिस टीम के साथ काम कर रहे हैं। शोषित धन वापस करने के लिए.
प्रिय @ऑस्मोसिसज़ोन समुदाय, आप में से बहुत से लोग कल हुई ऑस्मोसिस एलपी बग के बारे में जानते हैं।
इसके वास्तविक होने के अविश्वास में, के दो सदस्य @fire_stake यह देखने के लिए परीक्षण करना शुरू किया कि क्या बग मौजूद है, परीक्षण अच्छे निर्णय में एक अस्थायी चूक में बदल गया, और…
— फायरस्टेक | सत्यापनकर्ता (@stake_fire) 8 जून 2022
इस प्रक्रिया में, हम $226 USD को ~$2M में बदलने में कामयाब रहे। हम अपने परिवार के भविष्य के बारे में सोच रहे थे, न कि अपने समुदाय के भविष्य के बारे में।
ऐसा करने के कुछ ही समय बाद, हमने पूरी रात इस बात पर जोर दिया कि हम चीजों को कैसे सही कर सकते हैं। हम वर्तमान में ऑस्मोसिस टीम के साथ काम कर रहे हैं...
— फायरस्टेक | सत्यापनकर्ता (@stake_fire) 8 जून 2022
जितनी जल्दी हो सके धनराशि वापस करने के लिए। हम ऑस्मोसिस टीम के साथ भी काम कर रहे हैं ताकि इस स्थिति का फायदा उठाने वाले किसी भी व्यक्ति को प्रोत्साहित किया जा सके कि कृपया आगे आएं और धन वापस करें।
हमारे पास आने के लिए आपका स्वागत है, और हम संपर्क के रूप में कार्य करने में मदद कर सकते हैं। हमें इसे ठीक करने की जरूरत है।
— फायरस्टेक | सत्यापनकर्ता (@stake_fire) 8 जून 2022
स्रोत: https://cryptoslate.com/attackers-drain-5-million-from-osmोसिस-firestake-validator-admits-to-exploiting-lp-bug/