Se explotó una falla durante la noche en los fondos de liquidez del intercambio descentralizado (DEX) Osmosis (OSMO), lo que le valió al atacante aproximadamente $ 5 millones. La cadena de bloques en la que se basa DEX se cerró, se aplicó un parche y se están realizando pruebas internas antes de que los validadores reinicien la red.
Osmosis
Temprano esta mañana, se descubrió una falla en los fondos de liquidez del intercambio descentralizado (DEX) Osmosis (OSMO) que se basa en su propia cadena de bloques dedicada. La información, revelada por primera vez por un usuario de la plataforma Reddit (la publicación se eliminó desde entonces), ha sido confirmada oficialmente por los equipos de Osmosis en Twitter.
Liquidity pools were NOT "completely drained".
Devs are fixing the bug, scoping the size of losses (likely in the range of ~$5M), and working on recovery.
More info to come. https://t.co/WOu7MMgSUM
— Osmosis 🧪 (@osmosiszone) June 8, 2022
Para evitar más daños financieros, la cadena de bloques que admite DEX se cerró en el bloque n.º 4.713.064 según el explorador Mintscan. Sin embargo, un usuario malicioso tuvo tiempo de explotar la falla para su propio beneficio.
Según Osmosis, el monto del hurto rondaría los 5 millones de dólares. Las transacciones del ladrón (visibles en el explorador de bloques ) se finalizaron 2 bloques antes del cierre de la cadena de bloques.
Según la última nota de prensa de los equipos encargados del protocolo, se ha identificado la falla y se ha aplicado un parche en consecuencia . Se están realizando pruebas internas para verificar si una falla similar no es explotable, y luego se comunicarán las órdenes de reinicio a los validadores de la red para poder reanudar las operaciones lo antes posible .
Sin embargo, se espera que en los próximos días se publique un informe detallado y que los equipos técnicos realicen una serie de pruebas en profundidad sobre la cadena de bloques para proponer una posible actualización de la red.
El curso del ataque
Según el usuario de Reddit que informó por primera vez la falla, estaba directamente en los propios fondos de liquidez. Según su observación, si un usuario de DEX aportaba liquidez a un grupo, podía retirar un 50 % más, sin ningún período de bloqueo.
El atacante multiplicó así las transacciones utilizando este método. Sin embargo, es posible que lo haya descubierto por pura casualidad.
De hecho, según los datos en cadena, solo se agregaron 26 tokens OSMO (alrededor de $ 30 en el momento del ataque) al fondo de liquidez en la primera transacción, lo que resultó en una ganancia inicial de 13 OSMO adicionales durante el retiro.
La segunda transacción es mucho mayor: el usuario malicioso depositó 101 230 tokens OSMO (es decir, más de 116 000 dólares en el momento del ataque) en el pool, es decir, una ganancia de 58 207 dólares en forma de OSMO.
Repitió así la operación en bucle, cada vez con una cantidad mayor, antes de transferir parte de sus tokens a otra billetera desde la que repitió la operación nuevamente. Son por tanto, en total, unos 5 millones de dólares los que se han desviado gracias a este proceso.
El precio del token OSMO se vio afectado en menor medida, sufriendo una pérdida de valor de alrededor del 7 % en 24 horas. Actualmente cotiza a $1,11, muy lejos de su ATH (precio más alto) de $11,25 alcanzado el 4 de marzo de 2022.
