Merkezi olmayan borsa (DEX) Osmosis’in (OSMO) likidite havuzlarında bir gecede bir kusurdan yararlanıldı ve saldırgana yaklaşık 5 milyon dolar kazandırdı. DEX’in dayandığı blok zinciri kapatıldı, bir yama uygulandı ve doğrulayıcılar ağı yeniden başlatmadan önce dahili testler devam ediyor.
Osmosis’te boşalan nakit havuzları
Bu sabah erken saatlerde, kendi özel blok zincirine dayanan merkezi olmayan borsa (DEX) Osmosis’in (OSMO) likidite havuzlarında bir kusur keşfedildi . İlk olarak Reddit platformunun bir kullanıcısı tarafından ortaya çıkarılan bilgiler, Twitter’da Osmosis ekipleri tarafından resmi olarak doğrulandı.
Olası daha fazla finansal hasarı önlemek için, DEX’i destekleyen blok zinciri, 4.713.064 numaralı blokta kapatıldı. Ancak, kötü niyetli bir kullanıcının kusuru kendi yararına kullanmak için zamanı vardı.
Osmosis’e göre hırsızlık miktarı 5 milyon dolar civarında olacak. Hırsızın işlemleri (blok gezgininde görülebilir), blok zincirinin kapanmasından 2 blok önce sonuçlandırıldı.
Protokolden sorumlu ekiplerden yapılan son basın açıklamasına göre kusur tespit edildi ve buna göre bir yama uygulandı. Benzer bir kusurun kötüye kullanılabilir olup olmadığını doğrulamak için dahili testler devam ediyor ve operasyonları mümkün olan en kısa sürede devam ettirebilmek için yeniden başlatma emirleri daha sonra ağın doğrulayıcılarına iletilecek.
Bununla birlikte, önümüzdeki günlerde detaylı bir raporun yayınlanması ve ağa olası bir güncelleme önermek için teknik ekipler tarafından blockchain üzerinde bir dizi derinlemesine test yapılması bekleniyor.
Saldırının seyri
Kusuru ilk bildiren Reddit kullanıcısına göre, doğrudan likidite havuzlarının kendisindeydi. Gözlemine göre, bir DEX kullanıcısı bir havuza likidite katkıda bulunursa, herhangi bir kilitlenme süresi olmadan %50 daha fazla çekebiliyordu.
Saldırgan böylece bu yöntemi kullanarak işlemleri çoğalttı. Ancak, bunu tamamen şans eseri keşfetmiş olabilir.
Gerçekten de, zincir üzerindeki verilere göre, ilk işlemde likidite havuzuna yalnızca 26 OSMO tokeni (saldırı sırasında yaklaşık 30 dolar) eklendi ve bu, geri çekilme sırasında 13 ek OSMO’luk bir başlangıç karı ile sonuçlandı.
İkinci işlem çok daha büyük: Kötü niyetli kullanıcı havuza 101.230 Osmosis (OSMO) tokeni (yani saldırı sırasında 116.000 dolardan fazla) yatırdı, sonrasında 58.207 dolar kazanç elde etti.
Bu nedenle, tokenlerinin bir kısmını işlemi tekrarladığı başka bir cüzdana aktarmadan önce, işlemi her seferinde daha büyük bir miktarla bir döngüde tekrarladı. Dolayısıyla bu süreç sayesinde toplamda yaklaşık 5 milyon dolar sızdırılmış durumda.
OSMO tokenin fiyatı daha az etkilendi ve 24 saat içinde yaklaşık %7 değerinde bir kayıp yaşadı. Şu anda 1,11 dolardan işlem görüyor, 4 Mart 2022’de ulaştığı 11,25 dolarlık ATH’den (en yüksek fiyat) çok uzak.
