Như thông tin chúng tôi đã đưa vào hôm qua, Osmosis, sàn giao dịch phi tập trung (DEX) được xây dựng trên mạng Cosmos, đã phải đình chỉ hoạt động vào khoảng 2h chiều (giờ Việt Nam) vào hôm qua sau khi những kẻ tấn công khai thác lỗi của nhà cung cấp thanh khoản (LP) và cướp đi khoảng 5 triệu USD.
Lỗi lần đầu tiên được xác định trong một bài đăng Reddit trên trang Cosmos Network chính thức. Nickname Straight-Hat3855 đã chú ý đến một “vấn đề nghiêm trọng” với Osmosis (OSMO), cho phép người dùng tùy ý tăng LP lên 50% chỉ bằng cách thêm và xóa thanh khoản. Bài đăng trên Reddit này đã nhanh chóng bị xóa, nhưng không đủ nhanh để ngăn cản những kẻ trục lợi lợi dụng lỗi này. Hậu quả là khoảng 5 triệu USD đã bị loại bỏ khỏi các nhóm thanh khoản trên sàn giao dịch Osmosis.
Sau khi bị tấn công và xác định được lỗi LP, Osmosis đã phải đình chỉ hoạt động ở độ cao khối 4,713,064, theo một thông báo từ Mintscan, nhà thám hiểm khối Osmosis.
RoboMcGobo, người điều hành dự án, đã giải thích cách lỗi hoạt động trong một loạt bài đăng thuộc Osmosis Discord. Anh đã trình bày chi tiết cách lỗ hổng cho phép những kẻ tấn công thêm thanh khoản vào bất kỳ Osmosis LP nào và sau đó ngay lập tức rút nó ra để nhận lại 150% số tiền ký quỹ ban đầu của họ.
“Về cơ bản, chức năng sẽ cung cấp thêm 50% cổ phiếu LP cho một lần tham gia. Nếu một người lẽ ra có được 10 cổ phiếu LP, thì sẽ nhận được 15”, RoboMcGobo đã viết vào hồi rạng sáng ngày hôm nay.
RoboMcGobo giải thích rằng lỗi này đã được “một số ít người dùng cố ý khai thác” và “dường như vô tình bởi một số người khác.” Theo một chủ đề Twitter từ Osmosis, bốn kẻ tấn công phải chịu trách nhiệm về 95% tổng số tiền bị khai thác, với hai trong số đó đã lên tiếng tự nguyện trả lại số tiền bị đánh cắp.
Khoảng một giờ sau tweet của Osmosis liên quan đến cuộc tấn công, FireStake, một nhóm Validator trong hệ sinh thái Cosmos, đã đăng một chủ đề trên Twitter thừa nhận rằng “trong một giây phút mất kiểm soát”, hai thành viên trong nhóm của họ đã khai thác lỗi với mức khoảng 2 triệu USD.
Firestake tuyên bố với 1.700 người theo dõi Twitter của họ rằng 2 thành viên nói trên “đang nghĩ về tương lai của gia đình [họ]” khi họ tiếp tục khai thác lỗi. Tuy nhiên, sau khi thừa nhận “căng thẳng cả đêm” về sự kiện này, họ quyết định tự nguyện trả lại tiền và “giải quyết mọi việc ổn thỏa”.
Theo một bài đăng từ Sunny Aggarwal, người đồng sáng lập Osmosis, hai hacker khác chịu phần lớn trách nhiệm trong vụ trộm đã thực hiện một loạt giao dịch tới các sàn giao dịch tập trung, mà Aggarwal tin rằng sẽ giúp truy tìm chúng dễ dàng hơn.
RoboMcGobo lặp lại lời của Aggarwal trong Discord của dự án, “Các quỹ đã được liên kết với tài khoản CEX. Cơ quan thực thi pháp luật đã được thông báo… chúng tôi hy vọng rằng những kẻ lợi dụng lỗi sẽ làm điều đúng đắn ở đây để không cần phải có những hành động cấp tiến hơn”.