黑客們利用LP漏洞從Osmosis交易盜取500萬美元，部分黑客很快返還了200萬美元

2022-06-09 00:06:00

黑客利用了Osmosis交易所的一個漏洞，盜取了500萬美元。其中FireStake驗證者承認，他們在竊取了約200萬美元的資金之後收手。

在Cosmos網絡上建立的去中心化交易所 (DEX) Osmosis，在美國東部時間周三凌晨3點前被關閉，原因是攻擊者利用了流動性提供者(LP)的漏洞，盜取了約500萬美元。

這個漏洞最初在Reddit的Cosmos Network官方頁面上的一篇帖子中發現。這名名為Straight-Hat3855的用戶引起了人們對Osmosis (OSMO)的一個“嚴重問題”的關注，該公司允許用戶僅通過添加和移除流動性就任意增加50%的LP。Reddit上的帖子很快就被刪除了，但在此之前，惡意分子利用了這個漏洞，導致Osmosis交易所流動性池中大約500萬美元被盜。

根據Osmosis區塊鏈瀏覽器Mintscan的公告，在漏洞利用和LP漏洞識別之後，Osmosis交易所在區塊高度4,713,064處停止。

項目管理員RoboMcGobo在Osmosis Discord的一系列文章中解釋了該漏洞的原理。他詳細描述了該漏洞如何讓攻擊者向任何Osmosis LP添加流動性，然後立即將其撤回，並從他們的初始存款中獲得150%的回報。

RoboMcGobo在周三下午4點剛過的時候寫道:“從本質上講，該功能會讓加入的LP份額多出50%，”他補充說:“如果一個人應該獲得10份LP份額，那么他最終會獲得15份。”

RoboMcGobo解釋說，該漏洞“被少數用戶有意利用”，“似乎被少數用戶無意利用”。根據Osmosis在推特上發布的消息，4名黑客佔據了95%的攻擊總量，其中2名攻擊者主動歸還了被竊取的資金。

在Osmosis發布有關此次攻擊的推文大約一小時後，Cosmos生態系統的驗證者FireStake在推特上承認，“一時的判斷失誤”導致其團隊的兩名成員利用該漏洞獲得了大約200萬美元的收益。

Firestake告訴他們的1700名推特粉絲，當他們繼續利用這個漏洞時，他們正在“考慮(他們)家庭的未來”。然而，在承認對這件事“緊張了一整晚”後，他們決定自愿退還資金，並“解決問題”。

根據Osmosis聯合創始人Sunny Aggarwal的一篇帖子，另外兩名黑客在中心化交易所進行了一系列交易，Aggarwal認為這將使追蹤他們變得更容易。

RoboMcGobo在該項目的Discord中回應了Aggarwal的說法，“資金與CEX账戶有關。我們已經通知了執法部門……我們希望這些攻擊者做出正確的決定，這樣就沒有必要採取激進的行動。”