Uma violação foi explorada de um dia para o outro nos pools de liquidez da bolsa descentralizada (DEX) Osmose (OSMO), ganhando o atacante cerca de 5 milhões de dólares. A cadeia de bloqueio em que o DEX se baseia foi encerrada, foi aplicado um remendo e estão em curso testes internos antes de os validadores reiniciarem a rede.
Piscinas de Liquidez drenadas em Osmose
Esta manhã cedo, foi descoberta uma falha no pool de liquidez da bolsa descentralizada (DEX) Osmose (OSMO) que se baseia na sua própria cadeia de bloqueio dedicada. A informação, primeiro revelada por um utilizador na plataforma Reddit (o post foi desde então apagado), foi oficialmente confirmada pelas equipas da Osmosis no Twitter.
As piscinas de liquefacção NÃO foram “completamente drenadas”.
Os dispositivos estão a reparar o bug, a delimitar o tamanho das perdas (provavelmente na ordem dos ~$5M), e a trabalhar na recuperação.
Mais informações em breve. https://t.co/WOu7MMgSUM
– Osmose (@osmosiszone) 8 de Junho de 2022
W
A fim de evitar mais danos financeiros, a cadeia de bloqueio de apoio ao DEX foi encerrada no bloco 4,713,064 de acordo com o explorador Mintscan. No entanto, um utilizador malicioso teve tempo para explorar a falha em seu próprio benefício.
De acordo com Osmosis, o valor do roubo é de cerca de 5 milhões de dólares. As transacções do ladrão (visíveis no explorador de blocos) foram concluídas 2 blocos antes de a cadeia de bloqueio ser encerrada.
De acordo com a última liberação das equipas responsáveis pelo protocolo, a falha foi identificada e um remendo foi aplicado em conformidade. Estão em curso testes internos para verificar se uma falha semelhante não é explorável, e as ordens de reinício serão então comunicadas aos validadores da rede, a fim de retomar as operações o mais rapidamente possível.
Contudo, espera-se que um relatório detalhado seja divulgado nos próximos dias e que uma série de testes aprofundados seja realizada pelas equipas técnicas da cadeia de bloqueio, a fim de propor uma possível actualização da rede.
O curso do ataque
De acordo com o utilizador da Reddit que primeiro relatou a falha, esta localizava-se directamente nos próprios pools de liquidez. De acordo com a sua observação, se um utilizador do DEX contribuísse com liquidez para um fundo comum, poderia retirar mais 50%, e sem qualquer período de “lock-in” para os fundos.
O atacante aumentou assim o número de transacções utilizando este método. No entanto, é possível que tenha descoberto este método por mero acaso.
De facto, de acordo com dados da cadeia, apenas 26 fichas da OMPE (cerca de 30 dólares na altura do ataque) foram adicionadas à reserva de liquidez na primeira transacção, resultando num lucro inicial de 13 OMPE adicionais no momento da retirada.
A segunda transacção foi muito maior: o utilizador malicioso depositou 101.230 fichas OSMO (mais de $116.000 na altura do ataque) no pool, resultando num lucro de $58.207 em OMAPE.
Depois repetiu a operação vezes sem conta, cada vez com uma quantidade maior, antes de transferir algumas das suas fichas para outra carteira da qual repetiu novamente a operação. No total, cerca de 5 milhões de dólares foram desviados através deste processo.
O preço da ficha OMPE foi afectado em menor medida, sofrendo uma perda de valor de cerca de 7% em 24 horas. Está actualmente a negociar a $1,11, muito longe do seu ATH (preço mais alto) de $11,25 alcançado em 4 de Março de 2022.
