Những kẻ tấn công đã khai thác một lỗi trong trao đổi Osmosis với mức 5 triệu đô la khi trình xác thực FireStake thừa nhận vai trò của họ trong việc kiếm được khoảng 2 triệu đô la trước khi bước tiếp.
Osmosis, một sàn giao dịch phi tập trung (DEX) được xây dựng trên mạng Cosmos, đã bị tạm dừng ngay trước 3:00 sáng theo giờ EST vào thứ Tư sau khi những kẻ tấn công khai thác lỗi của nhà cung cấp thanh khoản (LP – liquidity provider) với khoảng 5 triệu đô la.
Lỗi lần đầu tiên được xác định trong một bài đăng Reddit trên trang Cosmos Network chính thức. Người dùng, Straight-Hat3855, đã chú ý đến một “vấn đề nghiêm trọng” với Osmosis (OSMO) cho phép người dùng tùy ý tăng LP lên 50% chỉ bằng cách thêm và xóa thanh khoản. Bài đăng trên Reddit đã nhanh chóng bị xóa, nhưng không phải trước khi các kẻ xấu lợi dụng lỗi, lỗi này đã khiến khoảng 5 triệu đô la bị loại bỏ khỏi các nhóm thanh khoản trên sàn giao dịch Osmosis.
Sau khi khai thác và xác định lỗi LP, quá trình trao đổi Osmosis đã bị tạm dừng ở độ cao khối là 4,713,064, theo một thông báo từ Mintscan, nhà thám hiểm khối Osmosis.
Giải thích cách lỗi hoạt động trong một loạt bài đăng trong Osmosis Discord là người điều hành dự án RoboMcGobo, người đã trình bày chi tiết cách lỗ hổng cho phép những kẻ tấn công thêm thanh khoản vào bất kỳ Osmosis LP nào và sau đó ngay lập tức rút nó để nhận lại 150% số tiền ký quỹ ban đầu của họ: “Về cơ bản , chức năng sẽ cung cấp quá nhiều 50% chia sẻ LP cho một lần tham gia, “RoboMcGobo đã viết ngay sau 4:00 chiều ngày thứ Tư, thêm vào:” Nếu một người lẽ ra có được 10 cổ phiếu LP, thì sẽ đạt được 15″.
RoboMcGobo giải thích rằng lỗi này đã được “một số ít người dùng cố ý khai thác” và “dường như vô tình bởi một số người khác”. Theo một chuỗi Twitter từ Osmosis, bốn kẻ tấn công phải chịu trách nhiệm về 95% tổng số tiền khai thác, với hai trong số những kẻ tấn công tự nguyện tiến lên để trả lại số tiền bị đánh cắp.
Khoảng một giờ sau tweet của Osmosis liên quan đến cuộc tấn công, FireStake, người xác thực trong hệ sinh thái Cosmos, đã đăng một chủ đề trên Twitter thừa nhận rằng “một sự mất hiệu lực tạm thời trong phán đoán tốt” đã chứng kiến hai thành viên trong nhóm của họ khai thác lỗi với mức khoảng 2 triệu đô la.
Firestake nói với 1.700 người theo dõi Twitter của họ rằng họ đang “nghĩ về tương lai của gia đình họ” khi họ tiếp tục khai thác lỗi. Tuy nhiên, sau khi thừa nhận “căng thẳng suốt đêm” về sự kiện này, họ quyết định tự nguyện trả lại tiền và “giải quyết mọi việc ổn thỏa”.
Theo một bài đăng từ Sunny Aggarwal, người đồng sáng lập Osmosis, hai hacker khác chịu trách nhiệm về vụ trộm đã thực hiện một loạt giao dịch tới các sàn giao dịch tập trung, mà Aggarwal tin rằng sẽ giúp truy tìm chúng dễ dàng hơn.
RoboMcGobo lặp lại lời của Aggarwal trong Discord của dự án, “Các quỹ đã được liên kết với các tài khoản CEX. Cơ quan thực thi pháp luật đã được thông báo… chúng tôi hy vọng rằng những kẻ khai thác sẽ làm điều đúng đắn ở đây để hành động gây hấn sẽ không cần thiết”.
Theo: cointelegraph
Khuyến cáo: Thông tin trên bài viết này chỉ mang tính tham khảo, không có bất kỳ lời khuyên nào về mua bán, đầu tư. Bạn hãy tự nghiên cứu trước khi thực hiện bất kỳ hình thức đầu tư nào.
