حمله اکسپلویت به صرافی غیرمتمرکز ازموسیس؛ ۵ میلیون دلار به سرقت رفت

صرافی غیرمتمرکز ازموسیس (Osmosis) امروز صبح مورد حمله اکسپلویت قرار گرفت و در جریان آن ۵ میلیون دلار به سرقت رفت. این صرافی با استفاده از Cosmos SDK ساخته شده است و از قابلیت ارتباطات بین بلاک‌چینی (IBC) برای فعال کردن تراکنش‌های میان‌ زنجیره‌ای استفاده می‌کند.

به گزارش میهن بلاکچین و به نقل دیکریپت، پس از این حمله اکسپلویت، توسعه‌دهندگان ازموسیس برای جلوگیری از ضرر بیشتر، فعالیت‌های شبکه را متوقف کردند.

بر اساس اعلامیه Mintscan(اکسپلورر شبکه آزموسیس)، صرافی غیرمتمرکز این شبکه حوالی سال ۷:۱۹ صبح امروز به وقت تهران در بلاک ۴،۷۱۳،۰۶۴ متوقف شده است. حمله هکرها درست ۲ بلاک قبل‌‌تر از این بلاک اتفاق افتاده است.

تیم توسعه اسموزیس پس از کشف آسیب‌پذیری امنیتی که باعث این اتفاق شد در توییتی در این رابطه نوشت:

استخرهای نقدینگی به طور کامل تخلیه نشده‌اند. توسعه‌دهندگان در حال رفع باگ و تخمین و بررسی ضرر وارده (تقریبا ۵ میلیون دلار) هستند و بر بازیابی آن‌ها کار می‌کنند.

نکته جالب توجه اینجاست که درست ساعتی قبل از وقوع این حمله، یکی از کاربران در شبکه اجتماعی ردیت به توسعه‌دهندگان ازموسیس در رابطه با وجود این باگ مهم در صرافی هشدار داده بود، با این حال، این رشته پیام توسط مدیران این پروژه پاک شد.

به گفته این کاربر، در صورتی که شخصی برای استخرهای نقدینگی ازموسیس نقدینگی فراهم کند، می‌تواند سپرده خود را با سود ۵۰٪ بدون گذراندن هیچ دوره تعهدی (bonding period) برداشت کند. منظور از دوره تعهد، دوره‌ای است که طی آن وجوه کاربر برای مدتی قفل می‌شود.

بررسی تراکنش‌های آنچین نشان می‌دهد که چگونه هکر به طور مکرر از این باگ سو استفاده کرده است. ظاهرا فرد مهاجم کار خود را ابتدا با ۲۶ توکن OSMO شروع کرده‌ است و در اولین تراکنش خود، معادل ۵۰٪ سود (۱۳ توکن بیشتر) دریافت کرده‌ است. این فرد حدودا ۲۰ دقیقه پس از مطمئن شدن از امکان انجام این فرآیند، در تراکنشی، ۱۰۱،۲۳۰ واحد OSMO به استخر نقدینگی ازموسیس واریز کرده‌ است.

۳۰ ثانیه پس از تراکنش بالا، فرد مهاجم ۱۵۱،۰۸۴ توکن OSMO از این صرافی خارج کرده‌ و ۵۰٪ سود برده است.

این اکسپلویتر فرآیند فوق را بیش از ۳۰ بار تکرار کرده‌ است و هر بار، ۵۰٪ بیشتر از نقدینگی تامین شده، دریافت کرده‌ است.

در انتها فرد مهاجم توکن‌های OSMO بدست آمده را به ۷۰،۰۰۰ واحد ATOM (توکن بومی شبکه کازماس) تبدیل کرده‌ است. همچنین برخی از توکن‌های به دست آمده به کیف پول دیگری فرستاده شده است تا همان روند را تکرار کند.

فرد یا افراد پشت پرده این حمله روند فوق را با کیف پول‌های متعددی تکرار کرده است و در مجموع موفق شده تا ۵ میلیون دلار به جیب بزند.

ارزش کل قفل شده (TVL) در شبکه ازموسیس در ۲۴ ساعت گذشته ۱٪ کاهش یافته و به ۲۱۲.۷۷ میلیون دلار رسیده است.