صرافی غیرمتمرکز ازموسیس (Osmosis) امروز صبح مورد حمله اکسپلویت قرار گرفت و در جریان آن ۵ میلیون دلار به سرقت رفت. این صرافی با استفاده از Cosmos SDK ساخته شده است و از قابلیت ارتباطات بین بلاکچینی (IBC) برای فعال کردن تراکنشهای میان زنجیرهای استفاده میکند.
به گزارش میهن بلاکچین و به نقل دیکریپت، پس از این حمله اکسپلویت، توسعهدهندگان ازموسیس برای جلوگیری از ضرر بیشتر، فعالیتهای شبکه را متوقف کردند.
بر اساس اعلامیه Mintscan(اکسپلورر شبکه آزموسیس)، صرافی غیرمتمرکز این شبکه حوالی سال ۷:۱۹ صبح امروز به وقت تهران در بلاک ۴،۷۱۳،۰۶۴ متوقف شده است. حمله هکرها درست ۲ بلاک قبلتر از این بلاک اتفاق افتاده است.
تیم توسعه اسموزیس پس از کشف آسیبپذیری امنیتی که باعث این اتفاق شد در توییتی در این رابطه نوشت:
استخرهای نقدینگی به طور کامل تخلیه نشدهاند. توسعهدهندگان در حال رفع باگ و تخمین و بررسی ضرر وارده (تقریبا ۵ میلیون دلار) هستند و بر بازیابی آنها کار میکنند.
نکته جالب توجه اینجاست که درست ساعتی قبل از وقوع این حمله، یکی از کاربران در شبکه اجتماعی ردیت به توسعهدهندگان ازموسیس در رابطه با وجود این باگ مهم در صرافی هشدار داده بود، با این حال، این رشته پیام توسط مدیران این پروژه پاک شد.
به گفته این کاربر، در صورتی که شخصی برای استخرهای نقدینگی ازموسیس نقدینگی فراهم کند، میتواند سپرده خود را با سود ۵۰٪ بدون گذراندن هیچ دوره تعهدی (bonding period) برداشت کند. منظور از دوره تعهد، دورهای است که طی آن وجوه کاربر برای مدتی قفل میشود.
بررسی تراکنشهای آنچین نشان میدهد که چگونه هکر به طور مکرر از این باگ سو استفاده کرده است. ظاهرا فرد مهاجم کار خود را ابتدا با ۲۶ توکن OSMO شروع کرده است و در اولین تراکنش خود، معادل ۵۰٪ سود (۱۳ توکن بیشتر) دریافت کرده است. این فرد حدودا ۲۰ دقیقه پس از مطمئن شدن از امکان انجام این فرآیند، در تراکنشی، ۱۰۱،۲۳۰ واحد OSMO به استخر نقدینگی ازموسیس واریز کرده است.
۳۰ ثانیه پس از تراکنش بالا، فرد مهاجم ۱۵۱،۰۸۴ توکن OSMO از این صرافی خارج کرده و ۵۰٪ سود برده است.
این اکسپلویتر فرآیند فوق را بیش از ۳۰ بار تکرار کرده است و هر بار، ۵۰٪ بیشتر از نقدینگی تامین شده، دریافت کرده است.
در انتها فرد مهاجم توکنهای OSMO بدست آمده را به ۷۰،۰۰۰ واحد ATOM (توکن بومی شبکه کازماس) تبدیل کرده است. همچنین برخی از توکنهای به دست آمده به کیف پول دیگری فرستاده شده است تا همان روند را تکرار کند.
فرد یا افراد پشت پرده این حمله روند فوق را با کیف پولهای متعددی تکرار کرده است و در مجموع موفق شده تا ۵ میلیون دلار به جیب بزند.
