Er werd vannacht misbruik gemaakt van een lek in de liquiditeitspools van de gedecentraliseerde beurs (DEX) Osmosis (OSMO), waardoor de aanvaller ongeveer 5 miljoen dollar verdiende. De blockchain waarop DEX is gebaseerd is afgesloten, een patch is toegepast en interne testen zijn aan de gang voordat validators het netwerk weer opstarten.
Liquiditeitspools leeggepompt bij Osmose
Vanochtend vroeg werd een fout ontdekt in de liquiditeitspools van de gedecentraliseerde beurs (DEX) Osmosis (OSMO), die vertrouwt op zijn eigen specifieke blockchain. De informatie, voor het eerst onthuld door een gebruiker op het Reddit-platform (de post is inmiddels verwijderd), is officieel bevestigd door Osmosis-teams op Twitter.
Liquiditeitspools waren niet “volledig leeggehaald”.
De ontwikkelaars zijn de bug aan het repareren, de omvang van de verliezen aan het inschatten (waarschijnlijk in de orde van grootte van ~$5M), en werken aan herstel.
Meer info volgt. https://t.co/WOu7MMgSUM
– Osmosis (@osmosiszone) Juni 8, 2022
4.713.064. Een kwaadwillende gebruiker had echter tijd om de fout in zijn eigen voordeel uit te buiten.
Volgens Osmosis is de waarde van de diefstal ongeveer 5 miljoen dollar. De transacties van de dief (zichtbaar op de blokverkenner) werden afgerond 2 blokken voordat de blockchain werd stilgelegd.
Volgens de laatste mededeling van de teams die verantwoordelijk zijn voor het protocol, is de tekortkoming geïdentificeerd en is dienovereenkomstig een patch toegepast. Er zijn interne tests aan de gang om na te gaan of een soortgelijke fout niet kan worden uitgebuit, en de herstartbevelen zullen vervolgens aan de netwerkvalidators worden meegedeeld, zodat de activiteiten zo snel mogelijk kunnen worden hervat.
Verwacht wordt echter dat in de komende dagen een gedetailleerd rapport zal worden vrijgegeven en dat een reeks diepgaande tests zal worden uitgevoerd door de technische teams op de blockchain om een mogelijke update van het netwerk voor te stellen.
Het verloop van de aanval
Volgens de Reddit-gebruiker die de fout als eerste meldde, zat deze direct bij de liquiditeitspools zelf. Volgens zijn waarneming kon een DEX-gebruiker die liquiditeit bijdroeg aan een pool, 50% meer opnemen, en zonder enige lock-in periode voor de fondsen.
De aanvaller verhoogde dus het aantal transacties met deze methode. Het is echter mogelijk dat hij deze methode bij puur toeval ontdekte.
Inderdaad, volgens on-chain gegevens, werden slechts 26 OSMO tokens (ongeveer 30 dollar op het moment van de aanval) toegevoegd aan de liquiditeitspool in de eerste transactie, wat resulteerde in een initiële winst van 13 extra OSMOs bij opname.
De tweede transactie was veel groter: de kwaadwillende gebruiker stortte 101.230 OSMO tokens (meer dan $116.000 op het moment van de aanval) in de pool, wat resulteerde in een winst van $58.207 in OSMOs.
Vervolgens herhaalde hij de operatie keer op keer, elke keer met een groter bedrag, voordat hij een deel van zijn tokens overmaakte naar een andere portemonnee van waaruit hij de operatie opnieuw herhaalde. In totaal werd ongeveer 5 miljoen dollar via dit proces weggesluisd.
De prijs van het OSMO-token werd in mindere mate beïnvloed, met een waardeverlies van ongeveer 7% over 24 uur. Het wordt momenteel verhandeld tegen $1,11, een verre schreeuw van zijn ATH (hoogste prijs) van $11,25 bereikt op 4 maart 2022.
