Hacker dùng lỗ hổng LP đánh cắp 5 triệu USD từ giao dịch Osmosis, một số hacker đã nhanh chóng trả lại 2 triệu USD

Osmosis, một sàn giao dịch phi tập trung (DEX) được xây dựng trên mạng Cosmos, đã bị đóng cửa ngay trước 3 giờ sáng theo giờ ET vào thứ Tư sau khi những kẻ tấn công khai thác lỗ hổng của nhà cung cấp thanh khoản (LP) và đánh cắp khoảng 5 triệu đô la.

Lỗ hổng lần đầu tiên được phát hiện trong một chủ đề trên trang Cosmos Network chính thức trên Reddit. Người dùng, Straight-Hat3855, đã thu hút sự chú ý đến một “vấn đề nghiêm trọng” với Osmosis (OSMO), cho phép người dùng tùy ý tăng LP của họ lên 50% chỉ bằng cách thêm và xóa tính thanh khoản. Bài đăng trên Reddit đã nhanh chóng bị xóa, nhưng không phải trước khi những kẻ độc hại khai thác lỗ hổng, dẫn đến việc đánh cắp khoảng 5 triệu đô la từ quỹ thanh khoản của sàn giao dịch Osmosis.

Theo thông báo của Mintscan, trình duyệt chuỗi khối Osmosis, sàn giao dịch Osmosis dừng ở độ cao khối 4.713.064 sau khi lỗ hổng bị khai thác và lỗ hổng LP được xác định.

Quản trị viên dự án RoboMcGobo đã giải thích cách lỗ hổng hoạt động trong một loạt bài đăng trên Osmosis Discord. Anh ấy trình bày chi tiết cách lỗi này cho phép những kẻ tấn công thêm tính thanh khoản vào bất kỳ LP thẩm thấu nào, sau đó rút ngay lập tức và nhận 150% tiền lãi cho khoản tiền gửi ban đầu của họ.

RoboMcGobo đã viết ngay sau 4 giờ chiều ngày thứ Tư: "Về cơ bản, tính năng này mang lại thêm 50% cổ phiếu LP khi tham gia", thêm vào: "Nếu một người nhận được 10 cổ phiếu LP, thì anh ta sẽ nhận được 15 bản sao."

RoboMcGobo giải thích rằng lỗ hổng này "được một số ít người dùng cố ý khai thác" và "dường như bị một số ít người dùng vô tình khai thác." Theo một tweet từ Osmosis, 4 tin tặc chiếm 95% tổng khối lượng tấn công và 2 trong số những kẻ tấn công đã tự nguyện trả lại số tiền bị đánh cắp.

Khoảng một giờ sau khi Osmosis tweet về cuộc tấn công, FireStake, người xác thực hệ sinh thái Cosmos, đã thừa nhận trên Twitter rằng "một sai sót nhất thời trong phán đoán" đã dẫn đến việc hai thành viên trong nhóm của anh ấy khai thác lỗi để kiếm được khoảng 2 triệu đô la thu nhập.

Firestake nói với 1.700 người theo dõi trên Twitter của họ rằng họ đang "suy nghĩ về tương lai của gia đình [họ]" khi tiếp tục khai thác lỗ hổng. Tuy nhiên, sau khi thừa nhận đã "lo lắng cả đêm" về vấn đề này, họ quyết định tự nguyện trả lại tiền và "giải quyết vấn đề".

Theo một bài đăng của Sunny Aggarwal, người đồng sáng lập Osmosis, hai tin tặc khác đã thực hiện một loạt giao dịch trên sàn giao dịch tập trung, mà Aggarwal tin rằng sẽ giúp việc theo dõi chúng dễ dàng hơn.

RoboMcGobo lặp lại tuyên bố của Aggarwal trên Discord của dự án, "Số tiền được liên kết với tài khoản CEX. Chúng tôi đã thông báo cho cơ quan thực thi pháp luật...Chúng tôi hy vọng những kẻ tấn công này đưa ra quyết định đúng đắn để không cần phải có hành động gây hấn."