Le 7 juin, quelqu'un a posté un fil Reddit qui a ensuite été supprimé par le modérateur du forum. Le fil de discussion contenait une affirmation sérieuse – le réseau Osmosis avait un bogue qui permettait aux fournisseurs de liquidité de gagner 50 % supplémentaires lors de l'ajout et du retrait de liquidités.
Osmose (OSMO) est une blockchain de l'écosystème Cosmos qui offre un échange et un portefeuille décentralisés.
La réclamation semblait improbable jusqu'à ce que le réseau soit arrêté pour une maintenance d'urgence.
Bonjour @osmosezone copains. Depuis le bloc #4713064, la chaîne Osmose a été arrêtée pour maintenance d'urgence.
À l'heure actuelle, l'Osmosis DEX et le portefeuille sont inutilisables jusqu'à ce que les réparations soient terminées.
?Veuillez patienter pendant que les développeurs travaillent pour nous faire revenir.
— ??EmpereurOsmo (Nœuds Hathor) ?? (@Flowslikeosmo) Le 8 juin 2022
Bien que l'équipe d'Osmosis n'ait pas reconnu un exploit à l'époque, l'arrêt s'est produit après que quelques attaquants aient drainé environ 5 millions de dollars.
Les pools de liquidités n'étaient PAS « complètement épuisés ».
Les développeurs corrigent le bogue, évaluent la taille des pertes (probablement de l'ordre de ~ 5 millions de dollars) et travaillent sur la récupération.
Plus d'infos pour manger. https://t.co/WOu7MMgSUM
— Osmose ? (@osmosezone) Le 8 juin 2022
L'équipe d'Osmosis a identifié le bogue et développé un correctif qui est en cours de test avant déploiement. Les développeurs travaillent toujours sur le redémarrage du réseau.
Mise à jour : le bogue a été identifié et un correctif a été écrit.
D'autres tests sont en cours avant que les validateurs ne soient recommandés pour coordonner un redémarrage.
Rapport de bogue complet et plan d'action pour des tests de bout en bout plus approfondis et appropriés des mises à niveau de la chaîne à suivre dans les prochains jours. https://t.co/DjJMOEQxrT
— Osmose ? (@osmosezone) Le 8 juin 2022
Voici donc comment les attaquants ont réussi à exploiter le réseau, comme le montre l'activité en chaîne :
Un utilisateur de Twitter a souligné dans un fil de discussion que l'un des attaquants avait ajouté des liquidités sous la forme d'USD Coin (USDC) et OSMO. L'attaquant a ensuite reçu des jetons GAMM LP en retour, ce qui représentait sa part dans le pool. Ces auteurs ont immédiatement retiré les jetons GAMM LP, gagnant ainsi 50 % de plus que le montant d'USDC et d'OSMO qui avait été ajouté comme liquidité.
Tout d'abord, apparemment, un subredditer l'a appelé il y a quelque temps - alors, bravo pour eux.
➼ Donc le wallet (osmo1hq) est l'exploiteur.
Premièrement, il fournit des liquidités sous la forme de USDC (J'ai vérifié cela dans le code source) + $OSMO
Il reçoit alors $GAMM Jetons LP en retour. pic.twitter.com/K3JzrDRPMN
– Andeh #OnChain (@0xLosingMoney) Le 8 juin 2022
L'agresseur a ensuite échangé les jetons OSMO contre ATOM et les a envoyés vers d'autres portefeuilles. Ce même processus a été répété maintes et maintes fois - chaque fois que l'attaquant gagnait 50% de jetons supplémentaires.
La plupart des recettes d'OSMO ont été échangées contre ATOM et transférées dans un portefeuille contenant 9 millions de dollars de jetons ATOM, a indiqué le fil Twitter. Cependant, ce portefeuille n'incluait pas les jetons USDC que l'attaquant avait gagnés en exploitant le bogue - les jetons USDC n'ont été ni échangés ni transférés, a ajouté le fil.
Une fois qu'il s'est amusé,
➼ Il envoie le $ ATOM vers une chaîne d'autres portefeuilles.
C'est difficile à dire sur le https://t.co/o02L0T5QtQ scanner combien c'était au total, mais j'ai suivi les portefeuilles et… pic.twitter.com/dchu2pDgQG
– Andeh #OnChain (@0xLosingMoney) Le 8 juin 2022
L'osmose identifie les attaquants ; FireStake sort
Quatre attaquants ont été identifiés comme les principaux auteurs qui ont volé plus de 95% du montant exploité, selon un fil Twitter d'Osmosis. Deux des quatre attaquants se sont portés volontaires pour restituer l'intégralité des fonds volés. Les deux autres ont des transactions vers et depuis des échanges centralisés, qui ont été alertés pour identifier les auteurs et récupérer les fonds.
Mettre à jour:
- 4 individus ont été identifiés qui représentent plus de 95% du montant d'exploit réalisé.
– 2 personnes sur 4 ont exprimé de manière proactive leur intention de restituer intégralement le montant exploité.
— Osmose ? (@osmosezone) Le 8 juin 2022
À peine une heure après le Tweet d'Osmosis concernant les attaquants, FireStake - un validateur de l'écosystème Cosmos - s'est présenté dans un Tweet et a admis avoir exploité le bogue LP, mais a noté qu'ils essayaient de "réparer les choses" et de travailler avec l'équipe d'Osmosis restituer les fonds exploités.
cher @osmosezone communauté, beaucoup d'entre vous connaissent le bogue d'Osmosis LP qui s'est produit hier.
Incrédules quant à sa réalité, deux membres de @fire_stake a commencé à tester pour voir si le bogue existait, les tests se sont transformés en un manque de jugement temporaire, et…
— FireStake | Validateur (@stake_fire) Le 8 juin 2022
dans le processus, nous avons réussi à convertir 226 USD en ~ 2 millions de dollars. Nous pensions à l'avenir de notre famille et non à l'avenir de notre communauté.
Peu de temps après, nous avons insisté toute la nuit sur la façon dont nous pouvons arranger les choses. Nous travaillons actuellement avec l'équipe d'Osmosis…
— FireStake | Validateur (@stake_fire) Le 8 juin 2022
restituer les fonds dans les plus brefs délais. Nous travaillons également avec l'équipe d'Osmosis pour encourager toute autre personne qui a profité de cette situation à se manifester et à retourner les fonds.
Vous êtes les bienvenus et nous pouvons vous aider à agir en tant que liaison. Nous devons arranger les choses.
— FireStake | Validateur (@stake_fire) Le 8 juin 2022
Source : https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/