Una brecha fue explotada durante la noche en los fondos de liquidez de la bolsa descentralizada (DEX) Osmosis (OSMO), obteniendo unos 5 millones de dólares para el atacante. La blockchain en la que se basa DEX se ha apagado, se ha aplicado un parche y se están realizando pruebas internas antes de que los validadores vuelvan a poner en marcha la red.
Piscinas de liquidez drenadas en Osmosis
A primera hora de esta mañana se ha descubierto un fallo en los fondos de liquidez de la bolsa descentralizada (DEX) Osmosis (OSMO) que se basa en su propia blockchain dedicada. La información, revelada por primera vez por un usuario en la plataforma Reddit (el post ya ha sido borrado), ha sido confirmada oficialmente por los equipos de Osmosis en Twitter.
Las piscinas de liquidez NO fueron «completamente drenadas».
Los desarrolladores están corrigiendo el error, calculando el tamaño de las pérdidas (probablemente del orden de los 5 millones de dólares) y trabajando en la recuperación.
Más información en breve. https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) 8 de junio de 2022
Con el fin de evitar más daños financieros, el blockchain que soporta DEX se cerró en el bloque 4.713.064 según el explorador Mintscan. Sin embargo, un usuario malintencionado tuvo tiempo de explotar el fallo en su propio beneficio.
Según Osmosis, el valor del robo ronda los 5 millones de dólares. Las transacciones del ladrón (visibles en el explorador de bloques) se finalizaron 2 bloques antes de que se cerrara la cadena de bloques.
Según el último comunicado de los equipos encargados del protocolo, se ha identificado el fallo y se ha aplicado un parche en consecuencia. Se están realizando pruebas internas para comprobar si no se puede explotar un fallo similar, y a continuación se comunicarán las órdenes de reinicio a los validadores de la red para reanudar las operaciones lo antes posible.
No obstante, se espera que en los próximos días se publique un informe detallado y se realicen una serie de pruebas en profundidad por parte de los equipos técnicos de la blockchain para proponer una posible actualización de la red.
El curso del ataque
Según el usuario de Reddit que informó por primera vez del fallo, éste se localizaba directamente en los propios fondos de liquidez. Según su observación, si un usuario de DEX aportaba liquidez a un fondo común, podía retirar un 50% más, y sin ningún periodo de bloqueo de los fondos.
El atacante aumentó así el número de transacciones utilizando este método. Sin embargo, es posible que haya descubierto este método por pura casualidad.
De hecho, según los datos de la cadena, sólo se añadieron 26 tokens OSMO (unos 30 dólares en el momento del ataque) a la reserva de liquidez en la primera transacción, lo que supuso una ganancia inicial de 13 OSMO adicionales al retirarse.
La segunda transacción fue mucho mayor: el usuario malicioso depositó 101.230 tokens OSMO (más de 116.000 dólares en el momento del ataque) en el pool, lo que supuso un beneficio de 58.207 dólares en OSMO.
A continuación, repitió la operación una y otra vez, cada vez con una cantidad mayor, antes de transferir algunos de sus tokens a otro monedero desde el que volvió a repetir la operación. En total, se desviaron aproximadamente 5 millones de dólares a través de este proceso.
El precio del token OSMO se vio afectado en menor medida, sufriendo una pérdida de valor de alrededor del 7% en 24 horas. Actualmente cotiza a 1,11 dólares, muy lejos de su ATH (precio máximo) de 11,25 dólares alcanzado el 4 de marzo de 2022.
