Una falla è stata sfruttata durante la notte nei pool di liquidità della borsa decentralizzata (DEX) Osmosis (OSMO), facendo guadagnare all’aggressore circa 5 milioni di dollari. La blockchain su cui si basa DEX è stata chiusa, è stata applicata una patch e sono in corso test interni prima che i validatori riavviino la rete.
Pool di liquidità prosciugati su Osmosis
Questa mattina presto è stata scoperta una falla nei pool di liquidità della borsa decentralizzata (DEX) Osmosis (OSMO), che si basa su una propria blockchain dedicata. L’informazione, rivelata per la prima volta da un utente sulla piattaforma Reddit (il post è stato poi cancellato), è stata confermata ufficialmente dai team di Osmosis su Twitter.
Le piscine di liquidità NON sono state “completamente svuotate”.
Gli sviluppatori stanno correggendo il bug, valutando l’entità delle perdite (probabilmente dell’ordine di 5 milioni di dollari) e lavorando al recupero.
Ulteriori informazioni in arrivo. https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) June 8, 2022
Per evitare ulteriori danni finanziari, la blockchain che supporta il DEX è stata chiusa al blocco 4.713.064 secondo l’esploratore Mintscan. Tuttavia, un utente malintenzionato ha avuto il tempo di sfruttare la falla a proprio vantaggio.
Secondo Osmosis, il valore del furto è di circa 5 milioni di dollari. Le transazioni del ladro (visibili nel block explorer) sono state finalizzate 2 blocchi prima che la blockchain venisse chiusa.
Secondo l’ultimo comunicato dei team responsabili del protocollo, la falla è stata identificata e una patch è stata applicata di conseguenza. Sono in corso test interni per verificare che una falla simile non sia sfruttabile e gli ordini di riavvio saranno comunicati ai validatori di rete in modo che le operazioni possano riprendere il prima possibile.
Tuttavia, si prevede che nei prossimi giorni verrà rilasciato un rapporto dettagliato e che i team tecnici della blockchain effettueranno una serie di test approfonditi per proporre un eventuale aggiornamento della rete.
Il corso dell’attacco
Secondo l’utente di Reddit che ha segnalato per primo la falla, questa si trovava direttamente nei pool di liquidità. Secondo le sue osservazioni, se un utente DEX apportava liquidità a un pool, era in grado di ritirarne un ulteriore 50%, senza alcun periodo di lock-in per i fondi.
L’aggressore ha quindi aumentato il numero di transazioni utilizzando questo metodo. Tuttavia, è possibile che abbia scoperto questo metodo per puro caso.
In effetti, secondo i dati della catena, solo 26 token OSMO (circa 30 dollari al momento dell’attacco) sono stati aggiunti al pool di liquidità nella prima transazione, con un conseguente profitto iniziale di 13 OSMO aggiuntivi al momento del ritiro.
La seconda transazione è stata molto più consistente: l’utente malintenzionato ha depositato 101.230 token OSMO (oltre 116.000 dollari al momento dell’attacco) nel pool, ottenendo un profitto di 58.207 dollari in OSMO.
Ha quindi ripetuto l’operazione più volte, ogni volta con un importo maggiore, prima di trasferire alcuni dei suoi gettoni in un altro portafoglio da cui ha ripetuto nuovamente l’operazione. In totale, attraverso questo processo sono stati sottratti circa 5 milioni di dollari.
Il prezzo del token OSMO ha subito un impatto minore, subendo una perdita di valore di circa il 7% in 24 ore. Attualmente è scambiato a 1,11 dollari, ben lontano dal suo ATH (prezzo massimo) di 11,25 dollari raggiunto il 4 marzo 2022.
