Les attaquants pillent 5 millions de dollars à Osmosis dans un exploit LP, 2 millions de dollars sont retournés peu de temps après

Osmosis, un échange décentralisé (DEX) construit sur le réseau Cosmos, a été arrêté juste avant 3h00 HNE mercredi après que des attaquants aient exploité un bogue de fournisseur de liquidité (LP) à hauteur d’environ 5 millions de dollars.

Le bug était le premier identifié dans un post Reddit sur la page officielle de Cosmos Network. L’utilisateur, Straight-Hat3855, a attiré l’attention sur un « problème sérieux » avec l’osmose (OSMO) qui permettait aux utilisateurs d’augmenter arbitrairement les LP de 50 % simplement en ajoutant et en supprimant des liquidités. La publication Reddit a été rapidement supprimée, mais pas avant que des acteurs malveillants n’aient profité du bogue, qui a vu environ 5 millions de dollars retirés des pools de liquidités sur la bourse Osmosis.

Suite à l’exploit et à l’identification du bug LP, l’échange Osmosis a été stoppé à une hauteur de bloc de 4 713 064, selon à une annonce de l’explorateur de blocs Osmosis Mintscan.

RoboMcGobo, modérateur du projet, a expliqué comment le bogue a fonctionné dans une série de messages dans Osmosis Discord, qui a expliqué comment la faille permettait aux attaquants d’ajouter des liquidités à n’importe quel LP d’Osmosis, puis de le retirer immédiatement pour un retour de 150 % sur leur dépôt initial : « Essentiellement , la fonction donnerait 50% de trop d’actions LP pour une jointure », a écrit RoboMcGobo mercredi après 16h00, ajoutant:« Si l’on devait avoir 10 actions LP, 15 seraient obtenues.

RoboMcGobo a expliqué que le bogue était « exploité intentionnellement par un petit nombre d’utilisateurs » et « apparemment involontairement par quelques autres ». Selon un fil Twitter d’Osmosis, quatre attaquants étaient responsables de 95 % du montant total de l’exploit, deux des attaquants s’étant volontairement avancés pour restituer les fonds volés.

Environ une heure après le tweet d’Osmosis concernant l’attaque, FireStake, un validateur de l’écosystème Cosmos, a publié un fil Twitter admettant qu' »un manque temporaire de jugement » a vu deux membres de son équipe exploiter le bogue à hauteur d’environ 2 millions de dollars. .

Firestake a déclaré à ses 1 700 abonnés sur Twitter qu’ils « pensaient à [their] l’avenir de la famille » quand ils ont continué à exploiter le bogue. Cependant, après avoir admis avoir « stressé toute la nuit » à propos de l’événement, ils ont décidé de retourner volontairement les fonds et de « mettre les choses au clair ».

Selon à un message du co-fondateur d’Osmosis, Sunny Aggarwal, les deux autres pirates responsables du vol ont effectué une série de transactions vers des échanges centralisés, ce qui, selon Aggarwal, facilitera leur recherche.

RoboMcGobo a fait écho aux paroles d’Aggarwal dans le Discord du projet : « Les fonds ont été liés aux comptes CEX. Les forces de l’ordre ont été informées… nous espérons que les exploiteurs feront ce qu’il faut ici pour qu’une action agressive ne soit pas nécessaire.