Em 7 de junho, alguém postou um rosca Reddit que mais tarde foi deletado pelo moderador do fórum. O tópico continha uma reclamação séria - a rede Osmosis tinha um bug que permitia que os provedores de liquidez ganhassem 50% extras ao adicionar e retirar liquidez.
Osmose (OSMO) é uma blockchain no ecossistema Cosmos que oferece uma bolsa e carteira descentralizada.
A alegação parecia improvável até que a rede foi interrompida para manutenção de emergência.
Olá @osmosiszona amigos. A partir do bloco #4713064, a cadeia Osmosis foi interrompida para manutenção de emergência.
Neste momento, a Osmosis DEX e a Wallet estão inoperantes, até que os reparos sejam concluídos.
“Por favor, aguarde enquanto os desenvolvedores trabalham para nos colocar de volta.
— ??ImperadorOsmo(Nodos Hathor)?? (@Flowslikeosmo) 8 de Junho de 2022
Embora a equipe da Osmosis não tenha reconhecido uma exploração na época, a interrupção ocorreu depois que alguns invasores drenaram cerca de US$ 5 milhões.
Os pools de liquidez NÃO foram “completamente drenados”.
Os desenvolvedores estão corrigindo o bug, avaliando o tamanho das perdas (provavelmente na faixa de ~ $ 5 milhões) e trabalhando na recuperação.
Mais informações por vir. https://t.co/WOu7MMgSUM
— Osmose? (@osmosiszone) 8 de Junho de 2022
A equipe da Osmosis identificou o bug e desenvolveu um patch que está sendo testado antes da implantação. Os desenvolvedores ainda estão trabalhando para reiniciar a rede.
Atualização: O bug foi identificado e um patch escrito.
Mais testes estão em andamento antes que os validadores sejam recomendados para coordenar uma reinicialização.
Relatório de bug completo e plano de ação para testes de ponta a ponta mais completos e adequados de atualizações de cadeia a serem seguidos nos próximos dias. https://t.co/DjJMOEQxrT
— Osmose? (@osmosiszone) 8 de Junho de 2022
Então é assim que os invasores conseguiram explorar a rede, como mostrado pela atividade na cadeia:
Um usuário do Twitter apontou em um tópico que um dos invasores adicionou liquidez na forma de USD Coin (USDC) e OSMO. O invasor recebeu tokens LP do GAMM em troca, o que representou sua participação no pool. Esses criminosos retiraram imediatamente os tokens GAMM LP, ganhando assim 50% a mais do que a quantidade de USDC e OSMO que havia sido adicionada como liquidez.
Primeiro, aparentemente um subredditer chamou isso há algum tempo – então adereços para eles.
➼ Então a carteira (osmo1hq) é a exploradora.
Primeiro ele fornece Liquidez na forma de $ USDC (verifiquei isso no código-fonte) + $ OSMO
Ele então recebe $ GAMM Tokens LP em troca. pic.twitter.com/K3JzrDRPMN
- Andeh #OnChain (@0xLosingMoney) 8 de Junho de 2022
O criminoso então trocou os tokens OSMO por ATOM e os enviou para outras carteiras. Esse mesmo processo foi repetido várias vezes – cada vez que o invasor ganhava 50% mais tokens.
A maior parte dos lucros do OSMO foi trocada por ATOM e transferida para uma carteira que contém US$ 9 milhões em tokens ATOM, disse o tópico do Twitter. No entanto, esta carteira não incluiu os tokens USDC que o invasor ganhou ao explorar o bug – os tokens USDC não foram trocados nem transferidos, acrescentou o tópico.
Uma vez que ele se divertiu,
➼ Ele envia o $ ATOM para uma cadeia de outras carteiras.
É difícil dizer no https://t.co/o02L0T5QtQ scanner quanto no total era, mas rastreei as carteiras e… pic.twitter.com/dchu2pDgQG
- Andeh #OnChain (@0xLosingMoney) 8 de Junho de 2022
A osmose identifica os atacantes; FireStake surge
Quatro invasores foram identificados como os principais criminosos que roubaram mais de 95% da quantia explorada, de acordo com um tópico do Twitter da Osmosis. Dois dos quatro atacantes se ofereceram para devolver os fundos roubados completos. As outras duas têm transações de e para exchanges centralizadas, que foram alertadas para identificar os autores e recuperar os fundos.
Update:
– Foram identificados 4 indivíduos que respondem por mais de 95% da quantidade de exploração realizada.
– 2 dos 4 indivíduos expressaram proativamente a intenção de devolver o valor explorado integralmente.
— Osmose? (@osmosiszone) 8 de Junho de 2022
Apenas uma hora após o Tweet da Osmosis sobre os invasores, FireStake – um validador no ecossistema Cosmos – se apresentou em um Tweet e admitiu explorar o bug do LP, mas observou que eles estão tentando “acertar as coisas” e trabalhando com a equipe Osmosis devolver os fundos explorados.
Querido @osmosiszona comunidade, muitos de vocês sabem sobre o bug do Osmosis LP que ocorreu ontem.
Na descrença de que fosse real, dois membros da @fire_stake começou a testar para ver se o bug existia, o teste se transformou em um lapso temporário de bom senso e…
— FireStake | Validador (@stake_fire) 8 de Junho de 2022
no processo, conseguimos converter $226 USD para ~$2M. Estávamos pensando no futuro da nossa família, e não no futuro da nossa comunidade.
Pouco depois de fazer isso, enfatizamos durante a noite como podemos acertar as coisas. Atualmente estamos trabalhando com a equipe Osmosis…
— FireStake | Validador (@stake_fire) 8 de Junho de 2022
devolver os fundos o mais rápido possível. Também estamos trabalhando com a equipe da Osmosis para encorajar qualquer pessoa que tenha se aproveitado dessa situação a se apresentar e devolver os fundos.
Você é bem-vindo para vir até nós, e podemos ajudar a agir como uma ligação. Precisamos fazer isso direito.
— FireStake | Validador (@stake_fire) 8 de Junho de 2022
Fonte: https://cryptoslate.com/attackers-drain-5-million-from-osmosis-firestake-validator-admits-to-exploiting-lp-bug/