A Osmosis, uma exchange descentralizada (DEX) construída na rede Cosmos, foi interrompida na madrugada de quarta-feira (08), depois que os invasores exploraram um bug do provedor de liquidez (LP) no valor de aproximadamente US$ 5 milhões.

O bug foi identificado pela primeira vez  em um post do Reddit na página oficial da Cosmos Network. O usuário, Straight-Hat3855, chamou a atenção para um “sério problema” com o Osmosis (OSMO) que permitia aos usuários aumentar arbitrariamente LPs em 50% simplesmente adicionando e removendo liquidez. A postagem do Reddit foi removida rapidamente, mas não antes que os agentes maliciosos aproveitassem o bug, que removeu aproximadamente US $ 5 milhões dos pools de liquidez na exchange Osmosis.

Após a exploração e a identificação do bug do LP, a troca Osmosis foi interrompida em uma altura de bloco de 4.713.064, de acordo com um anúncio do explorador de blocos Osmosis Mintscan.

Explicando como o bug funcionou em uma série de posts no Osmosis Discord foi o moderador do projeto RoboMcGobo, que detalhou como a falha permitiu que os invasores adicionassem liquidez a qualquer LP Osmosis e depois o retirassem imediatamente para um retorno de 150% em seu depósito inicial: “Essencialmente , a função daria 50% de compartilhamentos de LP a mais para uma junção”, escreveu RoboMcGobo na tarde de quarta-feira, acrescentando: “Se alguém tivesse obtido 10 compartilhamentos de LP, 15 seriam alcançados”.

RoboMcGobo explicou que o bug foi “explorado intencionalmente por um pequeno número de usuários” e “aparentemente não intencionalmente por alguns outros”. De acordo com um tópico do Twitter da Osmosis, quatro invasores foram responsáveis ​​​​por 95% do valor total da exploração, com dois dos invasores avançando voluntariamente para devolver os fundos roubados.

Update:

– 4 individuals have been identified that account for 95%+ of realized exploit amount.

– 2 out of the 4 individuals has proactively expressed intent to return the exploited amount in full.

— Osmosis (@osmosiszone) June 8, 2022

Aproximadamente uma hora após o tweet de Osmosis sobre o ataque, FireStake, um validador no ecossistema Cosmos, postou um tópico no Twitter admitindo que “um lapso temporário de bom senso” viu dois membros de sua equipe explorarem o bug em aproximadamente US $ 2 milhões.

Firestake disse a seus 1.700 seguidores no Twitter que eles estavam “pensando no futuro de [sua] família” quando continuaram a explorar o bug. No entanto, depois de admitir “estressar a noite toda” com o evento, eles decidiram devolver voluntariamente os fundos e “resolver as coisas”.

Dear @osmosiszone community, many of you know about the Osmosis LP bug that occurred yesterday.

In disbelief of it being real, two members of @fire_stake started testing to see if the bug existed, testing grew into a temporary lapse in good judgment, and…

— FireStake | Validator (@stake_fire) June 8, 2022

De acordo com uma postagem do cofundador da Osmosis, Sunny Aggarwal, os outros dois hackers responsáveis ​​pelo roubo fizeram uma série de transações para exchanges centralizadas, o que Aggarwal acredita que facilitará o rastreamento.

RoboMcGobo ecoou as palavras de Aggarwal no Discord do projeto: “Os fundos foram vinculados às contas CEX. A aplicação da lei foi notificada… esperamos que os exploradores façam a coisa certa aqui para que uma ação agressiva não seja necessária”.

Por Tom Mitchelhill