Des attaquants ont exploité un bug, initialement signalé dans un fil de discussion Reddit, qui permettait aux utilisateurs de gagner 50 % de jetons en plus lorsqu’ils ajoutaient et retiraient des liquidités sur Osmosis.
Le 7 juin, une personne a publié un fil de discussion Reddit qui a ensuite été supprimé par le modérateur du forum. Ce fil contenait une allégation sérieuse : le réseau Osmosis présentait un bug qui permettait aux fournisseurs de liquidités de gagner 50 % de plus lorsqu’ils ajoutaient ou retiraient des liquidités.
Osmosis (OSMO) est une blockchain de l’écosystème Cosmos qui offre un échange et un portefeuille décentralisés.
L’affirmation semblait improbable jusqu’à ce que le réseau soit arrêté pour une maintenance d’urgence.
Hello @osmosiszone amis. A partir du bloc 4713064, la chaîne Osmosis a été arrêtée pour une maintenance d’urgence.
Pour le moment, le DEX et le portefeuille Osmosis sont inopérants, jusqu’à ce que les réparations soient terminées.
Veuillez patienter pendant que les développeurs s’efforcent de nous remettre en marche.
– EmperorOsmo(Hathor Nodes) (@Flowslikeosmo) June 8, 2022
Bien que l’équipe d’Osmosis n’ait pas reconnu l’existence d’un exploit à l’époque, l’arrêt est survenu après que quelques attaquants ont drainé environ 5 millions de dollars.
Les pools de liquidité n’ont PAS été « complètement vidés ».
Les développeurs corrigent le bug, évaluent l’ampleur des pertes (probablement de l’ordre de 5 millions de dollars) et travaillent à la récupération.
Plus d’informations à venir. https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) June 8, 2022
L’équipe d’Osmosis a identifié le bug et développé un correctif qui est en cours de test avant déploiement. Les développeurs travaillent encore sur le redémarrage du réseau.
Update : Le bug a été identifié et un patch a été écrit.
D’autres tests sont en cours avant que les validateurs ne soient recommandés pour coordonner un redémarrage.
Un rapport complet sur le bogue et un plan d’action pour un test plus approfondi et approprié de bout en bout des mises à niveau de la chaîne suivront dans les prochains jours. https://t.co/DjJMOEQxrT
– Osmosis (@osmosiszone) June 8, 2022
Voici donc comment les attaquants ont réussi à exploiter le réseau, comme le montre l’activité sur la chaîne :
Un utilisateur de Twitter a souligné dans un fil de discussion que l’un des attaquants a ajouté des liquidités sous la forme de USD Coin (USDC) et d’OSMO. L’attaquant a ensuite reçu des jetons GAMM LP en retour, qui représentaient leur part dans le pool. Ces auteurs ont immédiatement retiré les jetons GAMM LP, gagnant ainsi 50 % de plus que le montant d’USDC et d’OSMO qui avait été ajouté comme liquidité.
Tout d’abord, apparemment un subredditer a signalé cela il y a un certain temps – donc félicitations à eux.
➼ Donc le portefeuille (osmo1hq) est l’exploiteur.
Il fournit d’abord de la liquidité sous la forme de $USDC (j’ai vérifié cela dans le code source) + $OSMO
Il reçoit ensuite $GAMM des jetons LP en retour. pic.twitter.com/K3JzrDRPMN
– Andeh OnChain (@0xLosingMoney) 8 juin 2022
L’auteur a ensuite échangé les jetons OSMO contre des ATOM et les a envoyés vers d’autres portefeuilles. Ce même processus s’est répété à plusieurs reprises – à chaque fois, l’attaquant a gagné 50 % de jetons supplémentaires.
Selon le fil de discussion sur Twitter, la plupart des produits d’OSMO ont été échangés contre des ATOM et transférés vers un portefeuille contenant des jetons ATOM d’une valeur de 9 millions de dollars. Toutefois, ce portefeuille ne contenait pas les jetons USDC que l’attaquant a obtenus en exploitant le bug – les jetons USDC n’ont été ni échangés ni transférés, ajoute le fil de discussion.
Une fois qu’il s’est amusé,
Il envoie les $ATOM à une chaîne d’autres portefeuilles.
C’est difficile de dire sur le scanner https://t.co/o02L0T5QtQ combien il y avait en tout, mais j’ai suivi les portefeuilles et… pic.twitter.com/dchu2pDgQG
– Andeh OnChain (@0xLosingMoney) June 8, 2022
Osmose identifie les agresseurs ; FireStake se manifeste
Quatre attaquants ont été identifiés comme les principaux responsables du vol de plus de 95 % du montant exploité, selon un fil Twitter d’Osmosis. Deux des quatre attaquants se sont portés volontaires pour restituer l’intégralité des fonds volés. Les deux autres ont effectué des transactions vers et depuis des bourses centralisées, qui ont été alertées pour identifier les auteurs et récupérer les fonds.
Mise à jour :
– 4 individus ont été identifiés et représentent plus de 95% du montant de l’exploit réalisé.
– 2 des 4 individus ont exprimé de manière proactive leur intention de restituer l’intégralité du montant exploité.
– Osmosis (@osmosiszone) 8 juin 2022
A peine une heure après le tweet d’Osmosis concernant les attaquants, FireStake – un valideur dans l’écosystème Cosmos – s’est manifesté dans un tweet et a admis avoir exploité le bug LP, mais a noté qu’ils essayaient de « remettre les choses en ordre » et de travailler avec l’équipe d’Osmosis pour restituer les fonds exploités
Chère communauté @osmosiszone, beaucoup d’entre vous sont au courant du bug LP d’Osmosis survenu hier.
Incrédules quant à sa réalité, deux membres de @fire_stake ont commencé à le tester pour voir s’il existait, le test s’est transformé en une erreur de jugement temporaire, et…
– FireStake | Validator (@stake_fire) 8 juin 2022
au cours de ce processus, nous avons réussi à convertir 226 USD en ~2M$. Nous pensions à l’avenir de notre famille, et non à celui de notre communauté.
Peu après avoir fait cela, nous avons stressé toute la nuit sur la façon dont nous pouvons remettre les choses en ordre. Nous travaillons actuellement avec l’équipe d’Osmosis…
– FireStake | Validator (@stake_fire) 8 juin 2022
pour rendre les fonds dès que possible. Nous travaillons également avec l’équipe d’Osmosis pour encourager toute autre personne ayant profité de cette situation à se manifester et à rendre les fonds.
Vous êtes invités à venir nous voir, et nous pouvons vous aider à faire la liaison. Nous devons arranger les choses.
– FireStake | Validator (@stake_fire) 8 juin 2022
