thẩm thấu, mộtsàn giao dịch phi tập trung (DEX) được xây dựng trên mạng Cosmos, đã bị tạm dừng ngay trước 3:00 sáng EST vào thứ Tư sau khi những kẻ tấn công khai thác lỗi của nhà cung cấp thanh khoản (LP) với số tiền khoảng 5 triệu đô la.
Lỗi đầu tiên xác định trong một bài đăng Reddit trên trang Cosmos Network chính thức. Người dùng, Straight-Hat3855, đã chú ý đến một "vấn đề nghiêm trọng" với Osmosis (OSMO) cho phép người dùng tùy ý tăng LP lên 50% chỉ bằng cách thêm và xóa tính thanh khoản. Bài đăng trên Reddit đã nhanh chóng bị xóa, nhưng không phải trước khi có ác ý các tác nhân đã lợi dụng lỗi này, khiến khoảng 5 triệu đô la bị xóa khỏi nhóm thanh khoản trên sàn giao dịch Osmosis.
Sau khi khai thác và xác định lỗi LP, sàn giao dịch Osmosis đã bị tạm dừng ở chiều cao khối là 4.713.064,theo đến một thông báo từ trình thám hiểm khối thẩm thấu Mintscan.
Giải thích cách thức hoạt động của lỗi này trong một loạt bài đăng trên Osmosis Discord là người điều hành dự án RoboMcGobo, người đã nêu chi tiết cách lỗ hổng cho phép kẻ tấn công thêm tính thanh khoản vào bất kỳ Osmosis LP nào và sau đó rút ngay lập tức để nhận lại 150% tiền gửi ban đầu của họ: “Về cơ bản , tính năng này sẽ cung cấp 50% quá nhiều cổ phiếu LP cho một lần tham gia,” RoboMcGobo đã viết ngay sau 4 giờ chiều ngày thứ Tư, đồng thời cho biết thêm: “Nếu một người đáng lẽ đã nhận được 10 cổ phiếu LP, thì sẽ đạt được 15.”
RoboMcGobo giải thích rằng lỗi này "do một số ít người dùng cố ý khai thác" và "dường như do một số người khác vô ý". Theo một chuỗi Twitter từ Osmosis, bốn kẻ tấn công chịu trách nhiệm cho 95% tổng số lượng khai thác, với hai trong số những kẻ tấn công tự nguyện bước tới để trả lại số tiền bị đánh cắp.
Khoảng một giờ sau dòng tweet của Osmosis liên quan đến cuộc tấn công, FireStake, mộttrình xác thực trong hệ sinh thái Cosmos , đã đăng một chủ đề trên Twitter thừa nhận rằng “một sai sót tạm thời trong phán đoán tốt” đã khiến hai thành viên trong nhóm của họ khai thác lỗi đến mức khoảng 2 triệu đô la.
Firestake nói với 1.700 người theo dõi trên Twitter của họ rằng họ đang “nghĩ về tương lai của gia đình [họ]” khi họ tiếp tục khai thác lỗi này. Tuy nhiên, sau khi thừa nhận đã “căng thẳng suốt đêm” về sự kiện này, họ quyết định tự nguyện trả lại tiền và “giải quyết ổn thỏa”.
Theo đến một bài đăng từ Sunny Aggarwal, người đồng sáng lập Osmosis, hai tin tặc khác chịu trách nhiệm về vụ trộm đã thực hiện một loạt giao dịch tới các sàn giao dịch tập trung, mà Aggarwal tin rằng sẽ giúp việc theo dõi chúng dễ dàng hơn.
RoboMcGobo lặp lại lời của Aggarwal trong Discord của dự án, “Các quỹ đã được liên kết với tài khoản CEX. Cơ quan thực thi pháp luật đã được thông báo… chúng tôi hy vọng rằng những kẻ khai thác sẽ làm điều đúng đắn ở đây để không cần phải có hành động hung hăng.”