Cosmos ağındaki merkeziyetsiz borsa (DEX) Osmosis, siber saldırganların likidite havuzundaki (LP) bir hatayı suistimal ederek yaklaşık 5 milyon doları ele geçirmelerinin ardından çarşamba günü durduruldu.
Söz konusu hata, ilk olarak Reddit’te Cosmos Network’ün resmi subreddit’indeki bir gönderide tespit edildi. Straight-Hat3855 adlı kullanıcı, Osmosis’te (OSMO) kullanıcıların yalnızca likidite ilave ederek ve geri alarak LP’leri keyfi şekilde yüzde 50 büyütebildikleri “ciddi soruna” dikkat çekti. Reddit gönderisi hızla kaldırılsa da, kötü niyetli kişiler hatadan faydalanmada gecikmedi ve Osmosis borsasının likidite havuzlarından yaklaşık 5 milyon doları çekti.
Osmosis, hatanın ve suistimalin fark edilmesinin ardından borsayı 4.713.064’üncü blokta durdurduğunu duyurdu.
Proje moderatörü RoboMcGobo, Osmosis’in Discord kanalında hatanın nasıl geliştiğine açıklık getirdi. Kritik hata, kötü amaçlı kullanıcıların herhangi bir Osmosis LP’sine likidite eklemelerini ve hemen yüzde 150 kâr ile çekebilmelerine olanak sağladı.
RoboMcGobo, hatanın “az sayıda kullanıcı tarafından kasten” ve diğer bazı kullanıcılar tarafından da istemeden suistimal edildiğini açıkladı. Osmosis, çalınan miktarın yüzde 95’inden yalnızca dört kişinin sorumlu olduğunu, ikisinin ise çalınan paranın tamamını teslim etmeye gönüllü olduklarını duyurdu.
Update:
– 4 individuals have been identified that account for 95%+ of realized exploit amount.
– 2 out of the 4 individuals has proactively expressed intent to return the exploited amount in full.
— Osmosis (@osmosiszone) June 8, 2022
Cosmos ekosisteminin doğrulayıcılarından FireStake, saldırının duyurulmasından yaklaşık bir saat sonra ekibinden iki kişinin yaklaşık 2 milyon doların çalınmasından sorumlu olduğunu aktardı.
Firestake, hatayı suistimal etmeye devam ederken ailelerinin geleceğini düşündüklerini söylese de, stresli geçen gecenin ardından parayı gönüllü olarak iade etmeye karar verdiklerini açıkladı.
Dear @osmosiszone community, many of you know about the Osmosis LP bug that occurred yesterday.
In disbelief of it being real, two members of @fire_stake started testing to see if the bug existed, testing grew into a temporary lapse in good judgment, and…
— FireStake | Validator (@stake_fire) June 8, 2022
Osmosis Kurucu Ortağı Sunny Aggarwal, diğer iki saldırganın çalınan paraları merkezi borsalara aktardığını ve bu nedenle takibinin daha kolay olacağını belirtti.