Ar 7 Mehefin, postiodd rhywun a reddit edau cafodd hwnnw ei ddileu yn ddiweddarach gan gymedrolwr y fforwm. Roedd yr edefyn yn cynnwys honiad difrifol - roedd gan y rhwydwaith Osmosis nam a oedd yn caniatáu i ddarparwyr hylifedd ennill 50% yn ychwanegol wrth ychwanegu hylifedd a'i dynnu'n ôl.
osmosis (Osmo) yn blockchain yn ecosystem Cosmos sy'n cynnig cyfnewidfa a waled datganoledig.
Roedd yr hawliad yn ymddangos yn annhebygol nes i'r rhwydwaith gael ei atal oherwydd gwaith cynnal a chadw brys.
Helo @osmosiszone ffrindiau. O'r bloc #4713064 mae'r gadwyn Osmosis wedi'i hatal ar gyfer cynnal a chadw brys.
Ar hyn o bryd mae'r Osmosis DEX a Waled yn anweithredol, nes bod atgyweiriadau wedi'u cwblhau.
?Sefwch o'r neilltu wrth i Devs weithio i'n cael ni yn ôl ymlaen.
— ??YmerawdwrOsmo(Nodau Hathor) ?? (@Flowslikeosmo) Mehefin 8, 2022
Er na wnaeth tîm Osmosis gydnabod camfanteisio ar y pryd, daeth yr stop i ben ar ôl i rai ymosodwyr ddraenio tua $5 miliwn.
NID oedd pyllau hylifedd wedi'u “draenio'n llwyr”.
Mae devs yn trwsio'r nam, yn cwmpasu maint y colledion (yn ôl pob tebyg yn yr ystod o ~$5M), ac yn gweithio ar adferiad.
Mwy o wybodaeth i ddod. https://t.co/WOu7MMgSUM
— Osmosis ? (@osmosiszone) Mehefin 8, 2022
Mae'r tîm Osmosis wedi nodi'r nam ac wedi datblygu darn sy'n cael ei brofi cyn ei ddefnyddio. Mae datblygwyr yn dal i weithio ar ailgychwyn y rhwydwaith.
Diweddariad: Mae'r nam wedi'i nodi ac mae darn wedi'i ysgrifennu.
Mae mwy o brofion ar y gweill cyn argymell dilyswyr i gydlynu ailgychwyn.
Adroddiad nam llawn a chynllun gweithredu ar gyfer profion mwy trylwyr a chywir o'r dechrau i'r diwedd ar uwchraddio cadwyni i ddilyn yn y dyddiau nesaf. https://t.co/DjJMOEQxrT
— Osmosis ? (@osmosiszone) Mehefin 8, 2022
Felly dyma sut y llwyddodd yr ymosodwyr i fanteisio ar y rhwydwaith, fel y dangosir gan weithgarwch ar y gadwyn:
Tynnodd defnyddiwr Twitter sylw mewn edefyn bod un o'r ymosodwyr wedi ychwanegu hylifedd ar ffurf USD Coin (USDC) ac OSMO. Yna derbyniodd yr ymosodwr docynnau GAMM LP yn gyfnewid, a oedd yn cynrychioli eu cyfran yn y pwll. Tynnodd y cyflawnwyr hyn y tocynnau GAMM LP yn ôl ar unwaith, a thrwy hynny ennill 50% yn ychwanegol na'r swm o USDC ac OSMO a oedd wedi'u hychwanegu fel hylifedd.
Yn gyntaf, mae'n debyg bod subredditer wedi galw hyn ychydig yn ôl - felly propiau iddyn nhw.
➼ Felly y waled (osmo1hq) yw'r ecsbloetiwr.
Yn gyntaf mae'n darparu Hylifedd ar ffurf $ USDC (Fe wnes i wirio hyn yn y cod ffynhonnell) + $ OSMO
Yna mae'n derbyn $GAMM Tocynnau LP yn gyfnewid. pic.twitter.com/K3JzrDRPMN
— Andeh #OnChain (@0xLosingMoney) Mehefin 8, 2022
Yna cyfnewidiodd y cyflawnwr y tocynnau OSMO am ATOM a'u hanfon i waledi eraill. Ailadroddwyd yr un broses dro ar ôl tro - bob tro roedd yr ymosodwr yn ennill 50% yn fwy o docynnau.
Cafodd y rhan fwyaf o’r enillion yn OSMO eu cyfnewid am ATOM a’u trosglwyddo i waled sy’n cynnwys gwerth $9 miliwn o docynnau ATOM, meddai’r edefyn Twitter. Fodd bynnag, nid oedd y waled hon yn cynnwys y tocynnau USDC a enillodd yr ymosodwr trwy ecsbloetio'r byg - ni chafodd y tocynnau USDC eu cyfnewid na'u trosglwyddo, ychwanegodd yr edefyn.
Unwaith y mae wedi cael ei hwyl,
➼ Mae yn anfon y $ ATOM allan i gadwyn o waledi eraill.
Mae'n anodd dweud ar y https://t.co/o02L0T5QtQ sganiwr faint oedd e, ond fe wnes i olrhain y waledi a… pic.twitter.com/dchu2pDgQG
— Andeh #OnChain (@0xLosingMoney) Mehefin 8, 2022
Osmosis yn nodi ymosodwyr; Mae FireStake yn dod allan
Mae pedwar ymosodwr wedi’u nodi fel y cyflawnwyr allweddol a ddwynodd dros 95% o’r swm a ecsbloetiwyd, yn ôl edefyn Twitter gan Osmosis. Mae dau o'r pedwar ymosodwr wedi gwirfoddoli i ddychwelyd yr arian cyflawn a gafodd ei ddwyn. Mae gan y ddau arall drafodion i ac o gyfnewidfeydd canolog, sydd wedi cael eu rhybuddio i nodi'r tramgwyddwyr ac adennill yr arian.
Diweddaru:
– Mae 4 unigolyn wedi’u nodi sy’n cyfrif am 95%+ o’r swm ecsbloetio a wireddwyd.
– Mae 2 o’r 4 unigolyn wedi mynegi’n rhagweithiol eu bwriad i ddychwelyd y swm a ecsbloetiwyd yn llawn.
— Osmosis ? (@osmosiszone) Mehefin 8, 2022
Ychydig awr ar ôl Trydariad Osmosis ynglŷn â’r ymosodwyr, daeth FireStake - dilyswr yn ecosystem Cosmos - ymlaen mewn Trydar a chyfaddef iddo ecsbloetio’r byg LP ond nododd eu bod yn ceisio “gosod pethau’n iawn” ac yn gweithio gyda’r tîm Osmosis i ddychwelyd yr arian a ecsbloetiwyd.
Annwyl @osmosiszone gymuned, mae llawer ohonoch yn gwybod am y byg Osmosis LP a ddigwyddodd ddoe.
Mewn anghrediniaeth ei fod yn real, dau aelod o @tan_stake dechrau profi i weld a oedd y byg yn bodoli, tyfodd y profion yn fethiant dros dro mewn barn dda, a…
— FireStake | Dilyswr (@stake_fire) Mehefin 8, 2022
yn y broses, rydym wedi llwyddo i drosi $226 USD i ~$2M. Roeddem yn meddwl am ddyfodol ein teulu, ac nid dyfodol ein cymuned.
Yn fuan ar ôl gwneud hynny, fe wnaethon ni bwysleisio trwy gydol y nos sut y gallwn ni unioni pethau. Ar hyn o bryd rydym yn gweithio gyda'r tîm Osmosis…
— FireStake | Dilyswr (@stake_fire) Mehefin 8, 2022
i ddychwelyd yr arian cyn gynted â phosibl. Rydym hefyd yn gweithio gyda'r tîm Osmosis i annog unrhyw un arall a fanteisiodd ar y sefyllfa hon i ddod ymlaen a dychwelyd arian.
Mae croeso i chi ddod atom ni, a gallwn ni helpu i weithredu fel cyswllt. Mae angen inni wneud hyn yn iawn.
— FireStake | Dilyswr (@stake_fire) Mehefin 8, 2022
Ffynhonnell: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/