Les attaquants pillent 5 millions de dollars à Osmosis dans un exploit LP, 2 millions de dollars sont retournés peu de temps après
Osmosis, un échange décentralisé (DEX) construit sur le réseau Cosmos, a été fermé juste avant 3 h 00 HNE mercredi après que des attaquants aient exploité un bogue de fournisseur de liquidité (LP) à hauteur d’environ 5 millions de dollars.
Le bug était le premier identifié dans un post Reddit sur la page officielle de Cosmos Network. L’utilisateur Straight-Hat3855 a attiré l’attention sur un « problème sérieux » avec Osmosis (OSMO) qui permettait aux utilisateurs d’augmenter arbitrairement LP de 50% simplement en ajoutant et en supprimant des liquidités. La publication Reddit a été rapidement supprimée, mais pas avant que des acteurs malveillants n’aient profité du bogue, qui a vu environ 5 millions de dollars retirés des pools de liquidités sur la bourse Osmosis.
Suite à l’exploit et à l’identification du bogue LP, l’échange Osmosis a été interrompu à une hauteur de bloc de 4 713 064, selon une annonce de l’explorateur de blocs Osmosis Mintscan.
Le modérateur du projet, RoboMcGobo, a expliqué comment le bogue fonctionnait dans une série de messages dans Osmosis Discord, qui expliquait comment la faille permettait aux attaquants d’ajouter de la liquidité à n’importe quel LP d’Osmosis, puis de le supprimer. immédiatement pour un retour de 150% sur leur dépôt initial: « Essentiellement, la fonctionnalité donnerait 50% de trop d’actions LP pour une jointure », a écrit RoboMcGobo mercredi après 16h00, ajoutant: « Si l’on devait avoir 10 actions LP, 15 serait obtenu.
RoboMcGobo a expliqué que le bogue était « exploité intentionnellement par un petit nombre d’utilisateurs » et « apparemment involontairement par quelques autres ». Selon un fil Twitter d’Osmosis, quatre attaquants étaient responsables de 95 % du montant total de l’exploit, et deux des attaquants se sont volontairement avancés pour restituer les fonds volés.
Mise à jour:
– 4 individus ont été identifiés qui représentent plus de 95% du montant de l’exploitation réalisée.
– 2 personnes sur 4 ont exprimé de manière proactive leur intention de restituer intégralement la somme exploitée.
— Osmose (@osmosiszone) 8 juin 2022
Environ une heure après qu’Osmosis a tweeté à propos de l’attaque, FireStake, un validateur de l’écosystème Cosmos, a publié un fil Twitter admettant qu' »un manque de jugement temporaire » a vu deux membres de son équipe exploiter le bogue pour environ 2 millions de dollars. .
Firestake a déclaré à ses 1 700 abonnés sur Twitter qu’ils «pensaient à [their] l’avenir de la famille » quand ils ont continué à exploiter le bogue. Cependant, après avoir admis avoir été « stressés toute la nuit » à propos de l’événement, ils ont décidé de retourner volontairement les fonds et de « mettre les choses au clair ».
Chere @osmosezone communauté, beaucoup d’entre vous connaissent le bogue d’Osmosis LP qui s’est produit hier.
Incrédules face à la réalité, deux membres de @fire_stake a commencé à tester pour voir si le bogue existait, les tests se sont transformés en un manque de jugement temporaire, et…
—Piquefeu | Validateur (@stake_fire) 8 juin 2022
Selon un article du co-fondateur d’Osmosis, Sunny Aggarwal, les deux autres pirates responsables du vol ont effectué une série de transactions vers des échanges centralisés, ce qui, selon Aggarwal, facilitera leur recherche.
RoboMcGobo a fait écho aux paroles d’Aggarwal dans le Discord du projet : « Les fonds ont été liés aux comptes CEX. Les forces de l’ordre ont été informées… nous espérons que les exploiteurs feront ce qu’il faut ici, donc une action agressive n’est pas nécessaire.