Penyerang menjarah $5 juta dari Osmosis dalam eksploitasi LP, $2 juta dikembalikan segera setelahnya

Osmosis, apertukaran terdesentralisasi (DEX) dibangun di jaringan Cosmos, dihentikan tepat sebelum pukul 03:00 EST pada hari Rabu setelah penyerang mengeksploitasi bug penyedia likuiditas (LP) hingga mencapai sekitar $5 juta.

Bugnya yang pertama diidentifikasi  dalam postingan Reddit di halaman resmi Jaringan Cosmos. Pengguna, Straight-Hat3855, membawa perhatian pada "masalah serius" dengan Osmosis (OSMO) yang memungkinkan pengguna untuk menumbuhkan LP secara sewenang-wenang sebesar 50% hanya dengan menambahkan dan menghapus likuiditas. Pos Reddit dengan cepat dihapus, tetapi sebelumnya berbahaya aktor mengambil keuntungan dari bug, yang melihat sekitar $5 juta dihapus dari kumpulan likuiditas di bursa Osmosis.

Setelah eksploitasi dan identifikasi bug LP, pertukaran Osmosis dihentikan pada ketinggian blok 4.713.064,menurut untuk pengumuman dari Osmosis block explorer Mintscan.

Menjelaskan bagaimana bug bekerja dalam serangkaian posting di Osmosis Discord adalah moderator proyek RoboMcGobo, yang merinci bagaimana cacat memungkinkan penyerang menambahkan likuiditas ke LP Osmosis mana pun dan kemudian segera menariknya untuk pengembalian 150% dari setoran awal mereka: “Pada dasarnya , fungsi tersebut akan memberikan 50% terlalu banyak saham LP untuk bergabung,” tulis RoboMcGobo tepat setelah pukul 16:00 pada hari Rabu, menambahkan: “Jika seseorang seharusnya mendapatkan 10 saham LP, 15 akan tercapai.”

RoboMcGobo menjelaskan bahwa bug tersebut "dieksploitasi secara sengaja oleh sejumlah kecil pengguna" dan "tampaknya secara tidak sengaja oleh beberapa pengguna lainnya". Menurut utas Twitter dari Osmosis, empat penyerang bertanggung jawab atas 95% dari total jumlah eksploitasi, dengan dua penyerang secara sukarela melangkah maju untuk mengembalikan dana yang dicuri.

Memperbarui:

- 4 individu telah diidentifikasi yang menyumbang 95%+ dari jumlah eksploitasi yang terealisasi.

- 2 dari 4 individu telah secara proaktif menyatakan niat untuk mengembalikan jumlah yang dieksploitasi secara penuh.

— Osmosis (@osmosiszone)8 Juni 2022

Kira-kira satu jam setelah tweet Osmosis tentang serangan itu, FireStake, avalidator di ekosistem Cosmos , memposting utas Twitter yang mengakui bahwa "kekeliruan sementara dalam penilaian yang baik" melihat dua anggota timnya mengeksploitasi bug hingga sekitar $ 2 juta.

Firestake memberi tahu 1.700 pengikut Twitter mereka bahwa mereka "memikirkan masa depan keluarga [mereka]" ketika mereka terus mengeksploitasi bug tersebut. Namun, setelah mengaku "stres sepanjang malam" tentang acara tersebut, mereka memutuskan untuk secara sukarela mengembalikan dana dan "meluruskan semuanya".

Sayang@osmosiszone komunitas, banyak yang tahu tentang bug Osmosis LP yang terjadi kemarin.

Karena tidak percaya itu nyata, dua anggota@fire_stake mulai menguji untuk melihat apakah bug itu ada, pengujian berkembang menjadi jeda sementara dalam penilaian yang baik, dan...

— FireStake | Validator (@stake_fire)8 Juni 2022

Menurut ke pos dari salah satu pendiri Osmosis, Sunny Aggarwal, dua peretas lainnya yang bertanggung jawab atas pencurian tersebut melakukan serangkaian transaksi ke bursa terpusat, yang menurut Aggarwal akan mempermudah pelacakan mereka.

RoboMcGobo menggemakan kata-kata Aggarwal dalam Perselisihan proyek, “Dana telah ditautkan ke akun CEX. Penegakan hukum telah diberitahukan… kami berharap para pengeksploitasi akan melakukan hal yang benar di sini sehingga tindakan agresif tidak diperlukan.”