A Osmosis, uma exchange descentralizada (DEX) construída na rede Cosmos, foi interrompida pouco antes das 3h da manhã EST na quarta-feira, depois que os invasores exploraram um bug do provedor de liquidez (LP) no valor de aproximadamente US$ 5 milhões.
O bug foi o primeiro identificado em um post do Reddit na página oficial da Cosmos Network. O usuário, Straight-Hat3855, chamou a atenção para um “sério problema” com o Osmosis (OSMO) que permitia aos usuários aumentar arbitrariamente LPs em 50% simplesmente adicionando e removendo liquidez. A postagem do Reddit foi removida rapidamente, mas não antes que os agentes maliciosos aproveitassem o bug, que removeu aproximadamente US $ 5 milhões dos pools de liquidez na exchange Osmosis.
Após a exploração e a identificação do bug LP, a troca Osmosis foi interrompida em uma altura de bloco de 4.713.064, de acordo com a um anúncio do explorador de blocos Osmosis Mintscan.
Explicando como o bug funcionou em uma série de posts no Osmosis Discord foi o moderador do projeto RoboMcGobo, que detalhou como a falha permitiu que os invasores adicionassem liquidez a qualquer LP Osmosis e depois o retirassem imediatamente para um retorno de 150% em seu depósito inicial: “Essencialmente , a função daria 50% de compartilhamentos de LP a mais para uma junção”, escreveu RoboMcGobo logo após as 16h de quarta-feira, acrescentando: “Se alguém tivesse obtido 10 compartilhamentos de LP, 15 seriam alcançados”.
RoboMcGobo explicou que o bug foi “explorado intencionalmente por um pequeno número de usuários” e “aparentemente não intencionalmente por alguns outros”. De acordo com um tópico do Twitter da Osmosis, quatro invasores foram responsáveis por 95% do valor total da exploração, com dois dos invasores avançando voluntariamente para devolver os fundos roubados.
Atualizar:
– Foram identificados 4 indivíduos que respondem por mais de 95% da quantidade de exploração realizada.
– 2 dos 4 indivíduos expressaram proativamente a intenção de devolver o valor explorado integralmente.
— Osmose (@osmosiszone) 8 de junho de 2022
Aproximadamente uma hora após o tweet de Osmosis sobre o ataque, FireStake, um validador no ecossistema Cosmos, postou um tópico no Twitter admitindo que “um lapso temporário de bom senso” viu dois membros de sua equipe explorarem o bug em aproximadamente US $ 2 milhões. .
Firestake disse a seus 1.700 seguidores no Twitter que eles estavam “pensando em [their] futuro da família” quando continuaram a explorar o bug. No entanto, depois de admitir “estressar a noite toda” com o evento, eles decidiram devolver voluntariamente os fundos e “resolver as coisas”.
Querido @osmosiszone comunidade, muitos de vocês sabem sobre o bug do Osmosis LP que ocorreu ontem.
Na descrença de que fosse real, dois membros da @fire_stake começou a testar para ver se o bug existia, o teste se transformou em um lapso temporário de bom senso e…
— FireStake | Validador (@stake_fire) 8 de junho de 2022
De acordo com De acordo com uma postagem do cofundador da Osmosis, Sunny Aggarwal, os outros dois hackers responsáveis pelo roubo fizeram uma série de transações para exchanges centralizadas, o que Aggarwal acredita que tornará mais fácil rastreá-los.
RoboMcGobo ecoou as palavras de Aggarwal no Discord do projeto: “Os fundos foram vinculados às contas CEX. A aplicação da lei foi notificada… esperamos que os exploradores façam a coisa certa aqui para que uma ação agressiva não seja necessária”.