Das Cosmos-basierte DeFi-Protokoll Osmosis Network wurde am 8. Juni bei Block #4713064 angehalten, nachdem es eine kritische Schwachstelle in seinen Liquiditätspools entdeckt hatte. Der Exploit fand nur zwei Blocks vor dem Stopp statt.
- Der Angriff wurde zuerst von einem Reddit-Benutzer gemeldet, der warnte, wenn ein Kunde Geld in einen Osmose-Pool einzahlt, würde er beim Entfernen zusätzliche 50 % erhalten. Der Beitrag wurde inzwischen gelöscht.
- Aber die Benutzer begannen bald darauf, die Schwachstelle auszunutzen, um Gelder von Osmosis zu stehlen.
- In einem Fall stellte eine böswillige Entität Liquidität von 101.230 OSMO bereit und erzielte einen Gewinn von 50 %, nachdem sie die Position einige Sekunden später mit 151.084 OSMO-Token verlassen hatte. Sie schafften es, diesen Vorgang mindestens 30 Mal zu wiederholen.
- Erst nachdem die Validierer nach dem v9-Stickstoff-Upgrade begonnen hatten, Probleme auf Discord zu melden, wurde ein Nothalt eingelegt, um die verbleibende Liquidität auf der dezentralen Börse zu sparen.
- Infolgedessen bleiben die Osmosis DEX und ihre native Wallet vorerst außer Betrieb.
- Ohne weitere Details über die genaue Art der Schwachstelle preiszugeben, enthüllte das DeFi-Protokoll die Identifizierung des Fehlers und das Schreiben eines Patches.
- Die Entwickler testen derzeit die Protokolle, bevor sie den Validatoren empfehlen, das Netzwerk neu zu starten.
„Update: Der Fehler wurde identifiziert und ein Patch geschrieben. Weitere Tests sind im Gange, bevor Validierern empfohlen wird, einen Neustart zu koordinieren. Vollständiger Fehlerbericht und Aktionsplan für gründlichere und ordnungsgemäßere End-to-End-Tests von Ketten-Upgrades folgen in den kommenden Tagen.“
- Später lieferte das Team hinter dem Protokoll weitere Informationen darüber, was passiert ist, einschließlich des Eingeständnisses, dass 5 Millionen Dollar überzogen waren, und des Versprechens, alle verlorenen Gelder zurückzuzahlen.
- Bevor weitere Aktualisierungen zu diesem Thema veröffentlicht werden, wird das Protokoll „mehrere Änderungen und Upgrades an unseren Sicherheitsprotokollen vornehmen, um die Qualität und Sicherheit von Osmosis zu gewährleisten“.
Der Fehler selbst war einfach und beinhaltete eine falsche Berechnung von LP-Anteilen beim Hinzufügen und Entfernen von Liquidität aus Pools.
Es hätte gefangen werden müssen. Bei internen Tests, die sich auf erweiterte Funktionen im Zusammenhang mit dem Upgrade konzentrierten, wurde dies schmerzlich übersehen.
– Osmose 🧪 (@osmosiszone) 8. Juni 2022
