El 7 de junio, alguien publicó un hilo de Reddit que luego fue eliminado por el moderador del foro. El hilo contenía un reclamo serio: la red Osmosis tenía un error que permitía a los proveedores de liquidez ganar un 50% adicional al agregar y retirar liquidez.
ósmosis (OSMO) es una cadena de bloques en el ecosistema de Cosmos que ofrece un intercambio y una billetera descentralizados.
El reclamo parecía improbable hasta que la red se detuvo por mantenimiento de emergencia.
Hola @osmosiszona amigos. A partir del bloque #4713064, la cadena de ósmosis se detuvo por mantenimiento de emergencia.
En este momento, Osmosis DEX y Wallet no funcionan, hasta que se completen las reparaciones.
?Por favor, espera mientras los desarrolladores trabajan para volver a ponernos en marcha.
— ??Emperador Osmo (Nodos Hathor)?? (@Flowslikeosmo) Sábado, Junio 8, 2022
Aunque el equipo de Osmosis no reconoció un exploit en ese momento, la detención se produjo después de que algunos atacantes gastaron alrededor de $ 5 millones.
Los fondos de liquidez NO estaban "completamente vaciados".
Los desarrolladores están solucionando el error, analizando el tamaño de las pérdidas (probablemente en el rango de ~ $ 5 millones) y trabajando en la recuperación.
Más información por venir. https://t.co/WOu7MMgSUM
— ¿Ósmosis? (@osmosiszone) Sábado, Junio 8, 2022
El equipo de Osmosis identificó el error y desarrolló un parche que se está probando antes de la implementación. Los desarrolladores aún están trabajando para reiniciar la red.
Actualización: se identificó el error y se escribió un parche.
Se están realizando más pruebas antes de recomendar a los validadores que coordinen un reinicio.
Informe completo de errores y plan de acción para realizar pruebas más completas y adecuadas de las actualizaciones de la cadena en los próximos días. https://t.co/DjJMOEQxrT
— ¿Ósmosis? (@osmosiszone) Sábado, Junio 8, 2022
Así es como los atacantes lograron explotar la red, como lo muestra la actividad en la cadena:
Un usuario de Twitter señaló en un hilo que uno de los atacantes agregó liquidez en forma de USD Coin (USDC) y OSMO. El atacante luego recibió tokens GAMM LP a cambio, lo que representaba su participación en el grupo. Estos perpetradores retiraron inmediatamente los tokens GAMM LP, ganando así un 50 % más que la cantidad de USDC y OSMO que se había agregado como liquidez.
En primer lugar, aparentemente un subredditer mencionó esto hace un tiempo, así que aplausos para ellos.
➼ Entonces la billetera (osmo1hq) es el explotador.
Primero proporciona Liquidez en forma de $ USDC (Verifiqué esto en el código fuente) + $ OSMO
Luego recibe $GAMM Fichas LP a cambio. pic.twitter.com/K3JzrDRPMN
- Andeh #OnChain (@0xLosingMoney) Sábado, Junio 8, 2022
Luego, el perpetrador cambió los tokens OSMO por ATOM y los envió a otras billeteras. Este mismo proceso se repitió una y otra vez, cada vez que el atacante ganaba un 50 % más de fichas.
La mayoría de las ganancias en OSMO se cambiaron por ATOM y se transfirieron a una billetera que contiene $ 9 millones en tokens ATOM, dijo el hilo de Twitter. Sin embargo, esta billetera no incluía los tokens de USDC que el atacante obtuvo al explotar el error: los tokens de USDC no se intercambiaron ni transfirieron, agregó el hilo.
Una vez que se ha divertido,
➼ Envía el $ ATOM a una cadena de otras carteras.
Es difícil de decir en el https://t.co/o02L0T5QtQ escaneé cuánto era en total, pero rastreé las billeteras y... pic.twitter.com/dchu2pDgQG
- Andeh #OnChain (@0xLosingMoney) Sábado, Junio 8, 2022
Osmosis identifica a los atacantes; Aparece FireStake
Cuatro atacantes han sido identificados como los perpetradores clave que robaron más del 95% de la cantidad explotada, según un hilo de Twitter de Osmosis. Dos de los cuatro atacantes se han ofrecido como voluntarios para devolver los fondos robados completos. Los otros dos tienen transacciones hacia y desde intercambios centralizados, que han sido alertados para identificar a los perpetradores y recuperar los fondos.
Actualizar:
– Se han identificado 4 personas que representan más del 95% de la cantidad de explotación realizada.
– 2 de las 4 personas han expresado proactivamente la intención de devolver la cantidad explotada en su totalidad.
— ¿Ósmosis? (@osmosiszone) Sábado, Junio 8, 2022
Apenas una hora después del Tweet de Osmosis sobre los atacantes, FireStake, un validador en el ecosistema de Cosmos, se presentó en un Tweet y admitió haber explotado el error de LP, pero señaló que están tratando de "arreglar las cosas" y trabajando con el equipo de Osmosis. devolver los fondos explotados.
querido @osmosiszona comunidad, muchos de ustedes conocen el error de Osmosis LP que ocurrió ayer.
Ante la incredulidad de que fuera real, dos miembros de @fuego_stake Comenzó a probar para ver si existía el error, las pruebas se convirtieron en un lapso temporal en el buen juicio y...
— FireStake | Validador (@stake_fire) Sábado, Junio 8, 2022
en el proceso, logramos convertir $226 USD a ~$2M. Estábamos pensando en el futuro de nuestra familia, y no en el futuro de nuestra comunidad.
Poco después de hacerlo, enfatizamos durante toda la noche cómo podemos arreglar las cosas. Actualmente estamos trabajando con el equipo de Osmosis…
— FireStake | Validador (@stake_fire) Sábado, Junio 8, 2022
devolver los fondos lo antes posible. También estamos trabajando con el equipo de Osmosis para alentar a cualquier otra persona que se haya aprovechado de esta situación a que se presente y devuelva los fondos.
Le invitamos a venir a nosotros, y podemos ayudar a actuar como enlace. Tenemos que hacer esto bien.
— FireStake | Validador (@stake_fire) Sábado, Junio 8, 2022
Fuente: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/