Los atacantes explotaron un fallo, inicialmente señalado en un hilo de Reddit, que permitía a los usuarios ganar un 50% más de tokens al añadir y retirar liquidez en Osmosis.
El 7 de junio, alguien publicó un hilo de Reddit que posteriormente fue eliminado por el moderador del foro. El hilo contenía una afirmación seria: la red Osmosis tenía un error que permitía a los proveedores de liquidez ganar un 50% extra al añadir y retirar liquidez.
Osmosis (OSMO) es una cadena de bloques del ecosistema Cosmos que ofrece un intercambio y una cartera descentralizados.
La afirmación parecía improbable hasta que la red se detuvo para el mantenimiento de emergencia.
Hola @osmosiszone amigos. A partir del bloque 4713064 la cadena de Osmosis ha sido detenida por mantenimiento de emergencia.
En este momento el DEX y la Cartera de Osmosis están inoperativos, hasta que se completen las reparaciones.
Por favor, permanezcan a la espera mientras los Devs trabajan para que volvamos a funcionar.
– EmperorOsmo(Hathor Nodes) (@Flowslikeosmo) 8 de junio de 2022
Aunque el equipo de Osmosis no reconoció en su momento la existencia de un exploit, la paralización se produjo después de que unos cuantos atacantes drenaran alrededor de 5 millones de dólares
Las piscinas de liquidez NO fueron «completamente drenadas».
Los desarrolladores están corrigiendo el error, analizando el tamaño de las pérdidas (probablemente en el rango de ~5 millones de dólares) y trabajando en la recuperación.
Más información en breve. https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) 8 de junio de 2022
El equipo de Osmosis ha identificado el error y ha desarrollado un parche que se está probando antes de su despliegue. Los desarrolladores siguen trabajando para reiniciar la red.
Actualización: Se ha identificado el fallo y se ha escrito un parche.
Se están realizando más pruebas antes de recomendar a los validadores que coordinen un reinicio.
En los próximos días se publicará un informe completo sobre el fallo y un plan de acción para realizar pruebas más completas y adecuadas de las actualizaciones de la cadena. https://t.co/DjJMOEQxrT
– Osmosis (@osmosiszone) 8 de junio de 2022
Así es como los atacantes consiguieron explotar la red, como muestra la actividad en la cadena:
Un usuario de Twitter señaló en un hilo que uno de los atacantes añadió liquidez en forma de USD Coin (USDC) y OSMO. A continuación, el atacante recibió a cambio tokens GAMM LP, que representaban su participación en el pool. Estos agresores retiraron inmediatamente los tokens GAMM LP, ganando así un 50% más de la cantidad de USDC y OSMO que se había añadido como liquidez.
En primer lugar, aparentemente un subredditer llamó a esto hace un tiempo – así que apoyos a ellos.
➼ Así que la cartera (osmo1hq) es el explotador.
Primero proporciona liquidez en forma de $USDC (verifiqué esto en el código fuente) + $OSMO
A continuación, recibe $GAMM tokens LP a cambio. pic.twitter.com/K3JzrDRPMN
– Andeh OnChain (@0xLosingMoney) June 8, 2022
El delincuente cambiaba entonces los tokens OSMO por ATOM y los enviaba a otros monederos. Este mismo proceso se repitió una y otra vez: cada vez el atacante ganaba un 50% más de tokens.
La mayor parte de las ganancias en OSMO se cambiaron por ATOM y se transfirieron a una cartera que contiene tokens ATOM por valor de 9 millones de dólares, según el hilo de Twitter. Sin embargo, este monedero no incluía los tokens USDC que el atacante ganó al explotar el fallo – los tokens USDC no se intercambiaron ni se transfirieron, añadió el hilo.
Una vez que ha tenido su diversión,
➼ Envía el $ATOM a una cadena de otros monederos.
Es difícil decir en el escáner https://t.co/o02L0T5QtQ cuánto en total era, pero rastreé las carteras y… pic.twitter.com/dchu2pDgQG
– Andeh OnChain (@0xLosingMoney) June 8, 2022
La ósmosis identifica a los atacantes; la toma de fuego aparece
Cuatro atacantes han sido identificados como los principales autores que robaron más del 95% de la cantidad explotada, según un hilo de Twitter de Osmosis. Dos de los cuatro atacantes se han ofrecido a devolver la totalidad de los fondos robados. Los otros dos tienen transacciones hacia y desde intercambios centralizados, que han sido alertados para identificar a los autores y recuperar los fondos.
Actualización:
– Se han identificado 4 individuos que representan más del 95% del importe de la explotación realizada.
– 2 de los 4 individuos han expresado proactivamente su intención de devolver la cantidad explotada en su totalidad.
– Osmosis (@osmosiszone) June 8, 2022
Apenas una hora después del tuit de Osmosis sobre los atacantes, FireStake -un validador en el ecosistema de Cosmos- dio la cara en un tuit y admitió haber explotado el fallo de LP, pero señaló que están tratando de «arreglar las cosas» y trabajando con el equipo de Osmosis para devolver los fondos explotados.
Querida comunidad @osmosiszone, muchos de vosotros conocéis el fallo de Osmosis LP que se produjo ayer.
Ante la incredulidad de que fuera real, dos miembros de @fire_stake empezaron a hacer pruebas para ver si el fallo existía, las pruebas se convirtieron en un lapsus temporal de buen juicio, y…
– FireStake | Validator (@stake_fire) 8 de junio de 2022
en el proceso, conseguimos convertir 226 USD en ~2M. Estábamos pensando en el futuro de nuestra familia, y no en el de nuestra comunidad.
Poco después de hacerlo, nos estresamos durante toda la noche sobre cómo podemos arreglar las cosas. Actualmente estamos trabajando con el equipo de Osmosis…
– FireStake | Validator (@stake_fire) June 8, 2022
para devolver los fondos lo antes posible. También estamos trabajando con el equipo de Osmosis para animar a cualquier otra persona que se haya aprovechado de esta situación a que por favor se presente y devuelva los fondos.
Son bienvenidos a venir a nosotros, y podemos ayudar a actuar como enlace. Tenemos que arreglar esto.
– FireStake | Validator (@stake_fire) June 8, 2022