In der Nacht wurde eine Schwachstelle in den Liquiditätspools der dezentralisierten Börse (DEX) Osmosis (OSMO) ausgenutzt, die dem Angreifer rund 5 Millionen US-Dollar einbrachte. Die Blockchain, auf der die DEX basiert, wurde heruntergefahren, ein Patch wurde eingespielt und es werden interne Tests durchgeführt, bevor die Validatoren das Netzwerk wieder hochfahren.
Bargeldpools auf Osmosis abgezogen
Früh am Morgen wurde eine Schwachstelle in den Liquiditätspools der dezentralen Börse (DEX) Osmosis (OSMO) entdeckt, die auf ihrer eigenen dedizierten Blockchain aufbaut. Die Information, die zunächst von einem Nutzer der Plattform Reddit enthüllt wurde (der Beitrag wurde inzwischen gelöscht), wurde von den Osmosis-Teams auf Twitter offiziell bestätigt.
Liquidity pools were NOT „completely drain“.
Devs are fixing the bug, scoping the size of losses (likely in the range of ~$5M), and working on recovery.
Weitere Informationen folgen. https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) June 8, 2022
Um weiteren finanziellen Schaden zu verhindern, wurde die Blockchain, die den DEX unterstützt, laut dem Mintscan-Explorer bei Block Nr. 4.713.064 stillgelegt. Ein böswilliger Nutzer hatte jedoch genug Zeit, die Schwachstelle zu seinen Gunsten auszunutzen.
Laut Osmosis soll sich der Wert des Diebstahls auf rund 5 Millionen US-Dollar belaufen haben. Die Transaktionen des Diebes (die im Block-Explorer sichtbar sind) wurden 2 Blöcke vor dem Herunterfahren der Blockchain abgeschlossen.
Laut der jüngsten Mitteilung der für das Protokoll zuständigen Teams wurde die Schwachstelle erkannt und ein entsprechender Patch eingespielt. Derzeit werden interne Tests durchgeführt, um zu prüfen, ob eine ähnliche Schwachstelle ausgenutzt werden kann. Anschließend werden den Validatoren des Netzwerks Neustartbefehle übermittelt, damit der Betrieb so schnell wie möglich wieder aufgenommen werden kann.
Es wird jedoch erwartet, dass in den nächsten Tagen ein ausführlicher Bericht veröffentlicht wird und dass eine Reihe von ausführlichen Tests von den technischen Teams an der Blockchain durchgeführt werden, um ein mögliches Update des Netzwerks vorzuschlagen.
Der Ablauf des Angriffs
Glaubt man dem Reddit-Nutzer, der die Schwachstelle als Erster meldete, so befand sich diese direkt in den Liquiditätspools selbst. Seiner Beobachtung nach konnte ein DEX-Nutzer, der Liquidität in einen Pool einbrachte, 50 % mehr Liquidität abziehen, ohne dass es eine Sperrfrist für die Gelder gab.
Der Angreifer vervielfachte somit die Anzahl der Transaktionen, die er mit dieser Methode durchführte. Es könnte jedoch sein, dass er diese Methode zufällig entdeckt hat.
Laut den On-Chain-Daten wurden bei der ersten Transaktion nur 26 OSMO-Token (ca. 30 US-Dollar zum Zeitpunkt des Angriffs) zum Liquiditätspool hinzugefügt, was bei der Auszahlung zu einem ersten Gewinn von 13 zusätzlichen OSMOs führte.
Die zweite Transaktion war wesentlich umfangreicher: Der böswillige Nutzer zahlte 101.230 OSMO-Token (zum Zeitpunkt des Angriffs über 116.000 US-Dollar) in den Pool ein, was einen Gewinn von 58.207 US-Dollar in Form von OSMOs bedeutete.
So wiederholte er den Vorgang in einer Schleife, jedes Mal mit einem größeren Betrag, bevor er einen Teil seiner Token in eine andere Brieftasche transferierte, von der aus er den Vorgang noch einmal wiederholte. Insgesamt wurden auf diese Weise rund 5 Millionen US-Dollar abgeschöpft.
Der Kurs des OSMO-Tokens wurde weniger stark beeinflusst und verlor innerhalb von 24 Stunden 7 % an Wert. Derzeit wird es für 1,11 US-Dollar gehandelt, weit entfernt von seinem ATH (höchster Preis) von 11,25 US-Dollar, der am 4. März 2022 erreicht wurde.
