Tóm tắt vụ hack Osmosis
Lỗ hổng xuất hiện khi người dùng thêm thanh khoản vào pool Osmosis và sau đó thử rút tiền thì phát hiện giá trị tài sản của mình lại tăng thêm 50%. Sau khi được lan truyền, không ít người dùng đã phát hiện lỗ hổng là có thật và ồ ạt sử dụng nó để trục lợi.
Osmosis sau đó đã phải đóng sàn DEX và dừng luôn cả blockchain nền tảng ở sau trong lúc khắc phục sự cố.
Giao thức Osmosis gặp lỗ hổng nghiêm trọng
Mọi chuyện bắt đầu khi một tài khoản Reddit có tên là Straight-Hat3855 viết trong subreddit /r/CosmosNetwork và /r/OsmosisLab rằng Osmosis (OSMO) đang có một lỗi bug vô cùng nghiêm trọng.
Nếu bạn thêm thanh khoản vào bất kỳ pool nào trên Osmosis, sau đó bỏ thêm thanh khoản thì bạn sẽ nhận được thêm 50% trên số tài sản đã dùng.
Chẳng hạn, có một địa chỉ ví đã liên tục lợi dụng lỗi này trong hơn 30 phút và kiếm được 75.000 token ATOM từ giao thức Osmosis. Bạn có thể xem địa chỉ ví này tại đây.
Phản ứng từ đội ngũ dự án
Đội ngũ Osmosis hành động chậm trễ sau một loạt thiệt hại nghiêm trọng mà không hề hay biết. Họ đã tạm dừng hoạt động của giao thức và chỉ thông báo “Bảo trì Khẩn cấp” trên các kênh truyền thông.
Hello @osmosiszone friends. As of block #4713064 the Osmosis chain has been halted for emergency maintenance.
At this time the Osmosis DEX and Wallet are inoperable, until repairs are completed.
🧪Please stand by as Devs work to get us back on.
— 🦙🧪EmperorOsmo(Hathor Nodes)🧪🦙 (@Flowslikeosmo) June 8, 2022
“Gửi cộng đồng Osmosis,
Kể từ block số #4713064, blockchain Osmosis sẽ bị tạm ngừng hoạt động để bảo trì khẩn cấp.
Tại thời điểm này, sàn Osmosis DEX và Ví đều sẽ không hoạt động, cho đến khi bảo trì hoàn tất.”
Cách phản ứng này làm dấy lên rất nhiều bất mãn trong cộng đồng. Đội ngũ Osmosis hoàn toàn không cung cấp thêm thông tin, không chia sẻ gì về lỗi bug đang gặp phải hay đưa ra hướng giải pháp.
Cộng đồng hoàn toàn “không biết gì hết” về những gì đội ngũ dự án đang làm.
Và câu hỏi đặt ra là, Osmosis sẽ giải quyết vấn đề này như thế nào? Có thể khôi phục lại số tài sản bị thất thoát không?
Dự án FireStake rút được một lượng lớn tiền từ sự cố
Đến sáng 09/06, FireStake, một dự án staking và tham gia làm validator cho nhiều blockchain thuộc hệ sinh thái Cosmos, trong đó có Cosmosis, tiết lộ thông tin “chấn động” rằng họ đã tham gia vào cuộc “hôi của” trên và rút được một lượng lớn tiền.
Đại diện FireStake viết trên Twitter những lời rất “hài hước” sau khi tấn công dự án như sau:
“Gửi cộng đồng Osmosis, chắc nhiều người các bạn đã biết về lỗi LP vào hôm qua.
Dù không thể tin nó là thật, song hai thành viên của FireStake đã thử xem liệu lỗi trên có tồn tại không, thử nghiệm này bắt đầu với ý định tốt, song trong quá trình làm điều đó, chúng tôi đã biến số tiền từ 226 USD thành 2 triệu USD. Chúng tôi đã suy nghĩ về tương lai gia đình của mình, chứ không phải là tương lai của cộng đồng.
Sau khi lấy được tiền, chúng tôi đã thức trắng đêm suy nghĩ. Chúng tôi hiện đang làm việc với Osmosis để hoàn trả tiền ngay khi có thể, cũng như kêu gọi người đã trục lợi từ lỗ hổng trên tự nguyện trả tiền.”
Nhiều bên thông báo trả tiền
Update:
– 4 individuals have been identified that account for 95%+ of realized exploit amount.
– 2 out of the 4 individuals has proactively expressed intent to return the exploited amount in full.
— Osmosis 🧪 (@osmosiszone) June 8, 2022
Đã xác định được 4 tài khoản đã chiếm 95% cùng số tiền họ đã chiếm được. Trong đó, 2 người đã chủ động muốn trả lại đầy đủ số tiền. Hai cá nhân còn lại có giao dịch thực hiện bằng CEX. Dự án đã liên hệ với các CEX (sàn giao dịch tập trung như Binance,.. ) để truy tìm danh tính và đưa ra những cảnh báo pháp lý trong trường hợp