Peretas menggunakan kerentanan LP untuk mencuri $5 juta dari transaksi Osmosis, beberapa peretas dengan cepat mengembalikan $2 juta

Osmosis, pertukaran terdesentralisasi (DEX) yang dibangun di jaringan Cosmos, ditutup sebelum pukul 3 pagi ET pada hari Rabu setelah penyerang mengeksploitasi kerentanan penyedia likuiditas (LP) dan mencuri sekitar 5 juta Dolar.

Kerentanan pertama kali ditemukan di utas di halaman resmi Jaringan Cosmos di Reddit. Pengguna, Straight-Hat3855, menarik perhatian ke "masalah serius" dengan Osmosis (OSMO), yang memungkinkan pengguna untuk meningkatkan LP mereka secara sewenang-wenang sebesar 50% hanya dengan menambahkan dan menghapus likuiditas. Posting di Reddit dengan cepat dihapus, tetapi tidak sebelum aktor jahat mengeksploitasi kerentanan, mengakibatkan pencurian sekitar $5 juta dari kumpulan likuiditas pertukaran Osmosis.

Menurut pengumuman Mintscan, browser blockchain Osmosis, pertukaran Osmosis berhenti pada ketinggian blok 4.713.064 setelah kerentanan dieksploitasi dan kerentanan LP diidentifikasi.

Administrator proyek RoboMcGobo menjelaskan cara kerja kerentanan dalam serangkaian posting di Osmosis Discord. Dia merinci bagaimana bug tersebut memungkinkan penyerang menambahkan likuiditas ke LP Osmosis apa pun, lalu langsung menariknya dan menerima pengembalian 150% dari setoran awal mereka.

RoboMcGobo menulis tepat setelah pukul 16:00 pada hari Rabu: "Pada dasarnya, fitur ini memberikan 50% lebih banyak saham LP untuk bergabung," menambahkan: "Jika seseorang mendapatkan 10 saham LP, maka dia akan mendapatkan 15 eksemplar."

RoboMcGobo menjelaskan bahwa kerentanan itu "secara sengaja dieksploitasi oleh sejumlah kecil pengguna" dan "tampaknya secara tidak sengaja dieksploitasi oleh sejumlah kecil pengguna." Menurut tweet dari Osmosis, 4 peretas menyumbang 95% dari total volume serangan, dan 2 penyerang secara sukarela mengembalikan dana yang dicuri.

Sekitar satu jam setelah Osmosis men-tweet tentang serangan itu, FireStake, validator untuk ekosistem Cosmos, mengakui di Twitter bahwa "kekeliruan penilaian sesaat" telah mengakibatkan dua anggota timnya mengeksploitasi bug untuk memperoleh pendapatan sekitar $2 juta.

Firestake memberi tahu 1.700 pengikut Twitter mereka bahwa mereka "memikirkan masa depan keluarga [mereka]" sambil terus mengeksploitasi celah tersebut. Namun, setelah mengaku "gugup sepanjang malam" tentang masalah tersebut, mereka memutuskan untuk secara sukarela mengembalikan dana dan "menyelesaikan masalah".

Menurut sebuah posting oleh salah satu pendiri Osmosis, Sunny Aggarwal, dua peretas lainnya melakukan serangkaian transaksi di bursa terpusat, yang menurut Aggarwal akan mempermudah pelacakan mereka.

RoboMcGobo menggemakan klaim Aggarwal pada Discord proyek, "Dana tersebut ditautkan ke akun CEX. Kami telah memberi tahu penegak hukum... Kami berharap penyerang ini membuat keputusan yang tepat sehingga tindakan agresif tidak diperlukan."