在Cosmos网络上建立的去中心化交易所 (DEX) Osmosis,在美国东部时间周三凌晨3点前被关闭,原因是攻击者利用了流动性提供者(LP)的漏洞,盗取了约500万美元。
这个漏洞最初在Reddit的Cosmos Network官方页面上的一篇帖子中发现。这名名为Straight-Hat3855的用户引起了人们对Osmosis (OSMO)的一个“严重问题”的关注,该公司允许用户仅通过添加和移除流动性就任意增加50%的LP。Reddit上的帖子很快就被删除了,但在此之前,恶意分子利用了这个漏洞,导致Osmosis交易所流动性池中大约500万美元被盗。
根据Osmosis区块链浏览器Mintscan的公告,在漏洞利用和LP漏洞识别之后,Osmosis交易所在区块高度4,713,064处停止。
项目管理员RoboMcGobo在Osmosis Discord的一系列文章中解释了该漏洞的原理。他详细描述了该漏洞如何让攻击者向任何Osmosis LP添加流动性,然后立即将其撤回,并从他们的初始存款中获得150%的回报。
RoboMcGobo在周三下午4点刚过的时候写道:“从本质上讲,该功能会让加入的LP份额多出50%,”他补充说:“如果一个人应该获得10份LP份额,那么他最终会获得15份。”
RoboMcGobo解释说,该漏洞“被少数用户有意利用”,“似乎被少数用户无意利用”。根据Osmosis在推特上发布的消息,4名黑客占据了95%的攻击总量,其中2名攻击者主动归还了被窃取的资金。
在Osmosis发布有关此次攻击的推文大约一小时后,Cosmos生态系统的验证者FireStake在推特上承认,“一时的判断失误”导致其团队的两名成员利用该漏洞获得了大约200万美元的收益。
Firestake告诉他们的1700名推特粉丝,当他们继续利用这个漏洞时,他们正在“考虑(他们)家庭的未来”。然而,在承认对这件事“紧张了一整晚”后,他们决定自愿退还资金,并“解决问题”。
根据Osmosis联合创始人Sunny Aggarwal的一篇帖子,另外两名黑客在中心化交易所进行了一系列交易,Aggarwal认为这将使追踪他们变得更容易。
RoboMcGobo在该项目的Discord中回应了Aggarwal的说法,“资金与CEX账户有关。我们已经通知了执法部门……我们希望这些攻击者做出正确的决定,这样就没有必要采取激进的行动。”