Протокол DeFi на основе Cosmos эксплуатируется за 5 миллионов долларов, разработчики пишут обновление после выявления ошибок

Протокол DeFi на основе космоса, Osmosis Network, был остановлен на блоке № 4713064 8 июня после обнаружения критической уязвимости в пулах ликвидности. Использование имело место всего за два квартала до остановки.

• Об атаке впервые сообщил пользователь Reddit, который предупредил, что если клиент внесет деньги в пул Osmosis, он получит дополнительные 50%, удалив их. С тех пор пост был удален.
• Но вскоре после этого пользователи начали использовать уязвимость для кражи средств у Osmosis.
• В одном случае злоумышленник предоставил ликвидность в размере 101 230 OSMO и заработал 50% после закрытия позиции через несколько секунд с 151 084 токенами OSMO. Им удалось повторить этот процесс не менее 30 раз.
• Это было только после того, как валидаторы начал сообщил о проблемах в Discord после обновления азота v9 о том, что аварийная остановка использовалась для сохранения оставшейся ликвидности на децентрализованной бирже.
• В результате Osmosis DEX и его оригинальный кошелек пока не работают.
• Не раскрывая подробностей о точном характере уязвимости, протокол DeFi раскрытый определить ошибку и написать обновление.
• В настоящее время разработчики тестируют протоколы, прежде чем рекомендовать валидаторам перезапустить сеть.

Обновление: ошибка была выявлена, и написано обновление. Ведутся дополнительные испытания, прежде чем валидаторам будет рекомендовано координировать перезагрузку. Заполните отчет об ошибке и план действий для более тщательного и точного сквозного тестирования обновлений цепочки, чтобы следовать в ближайшие дни».

• Позже команда вышла за протокол предоставил больше информации о том, что произошло, в том числе признал, что 5 миллионов долларов был перерасходован, и пообещал вернуть все потерянные средства.
• Прежде чем предоставлять дальнейшие обновления по делу, в протокол будут внесены «несколько изменений и обновлений наших протоколов безопасности для обеспечения качества и безопасности осмоса».

Сама ошибка была простой и заключалась в неправильном расчете долей LP при подаче и удалении ликвидности из пулов.

Это должно было быть поймано. Это было болезненно упущено при внутреннем тестировании, которое было сосредоточено на более продвинутой функциональности, связанной с обновлением.

– Осмос 🧪 (@osmosiszone) 8 июня 2022 г.