Блокчейн Osmosis Zone приостановил работу из-за критической уязвимости

В среду, 8 мая, блокчейн-платформа Osmosis Zone экосистемы Cosmos приостановила производство блоков из-за уязвимости, которая могла привести к опустошению пулов ликвидности децентрализованной биржи Osmosis Dex. 

Liquidity pools were NOT "completely drained".Devs are fixing the bug, scoping the size of losses (likely in the range of ~$5M), and working on recovery. More info to come. https://t.co/WOu7MMgSUM— Osmosis ? (@osmosiszone) June 8, 2022

«Пулы ликвидности не были “полностью опустошены”. Разработчики исправляют ошибку, оценивают ущерб (вероятно, в районе $5 млн) и работают над восстановлением [сети]. Более подробная информация будет предоставлена в ближайшее время», — заявили в команде проекта.

На момент написания платформа не обрабатывает транзакции уже более 4 часов. Сеть остановлена на высоте блока #4 713 064.

Первыми на эксплойт обратили внимание пользователи Reddit. Один из них отметил, что уязвимость позволяет внести в пул ликвидность и получить на 50% больше депозита при ее удалении.

It started with https://t.co/rifoL5mwMW claiming there is a serious exploit where anyone can add liquidity to any pool and gain an extra 50% when they remove it.At first no one believed for a moment that it was true, until they tried it.This is one heroic bug report. pic.twitter.com/OF346gMCzd— Junønaut (@TheJunonaut) June 8, 2022

Один из адресов неоднократно эксплуатировал уязвимость в течение более 30 минут. В результате участник экосистемы вывел свыше 75 000 ATOM (~$659 000) из Cosmos.

Валидаторы начали сообщать о проблемах после обновление Osmosis v9, которое активировали 7 июня. Апдейт ориентирован на имплементацию модуля, позволяющего проектам блокчейн-платформы использовать сервис CosmWasm для эмиссии токенов. 

On