Il protocollo DeFi basato su Cosmos, Osmosis Network, è stato interrotto al blocco n. 4713064 l'8 giugno dopo aver individuato una vulnerabilità critica nei suoi pool di liquidità. L'exploit è avvenuto appena due isolati prima dell'arresto.
- L'attacco è stato segnalato per la prima volta da un utente Reddit che ha avvertito che se un cliente deposita fondi su un pool Osmosis guadagnerebbe un extra del 50% rimuovendolo. Da allora il post è stato cancellato.
- Ma gli utenti hanno iniziato a sfruttare la vulnerabilità subito dopo per rubare fondi da Osmosis.
- In un caso, un'entità dannosa ha fornito liquidità di 101.230 OSMO e ha realizzato un profitto del 50% dopo essere uscita dalla posizione pochi secondi dopo con 151.084 token OSMO. Sono riusciti a ripetere questo processo almeno 30 volte.
- È stato solo dopo che i validatori hanno iniziato a segnalare problemi su Discord a seguito dell'aggiornamento v9 Nitrogen che è stato applicato un arresto di emergenza per risparmiare la liquidità rimanente sullo scambio decentralizzato.
- Di conseguenza, l'Osmosis DEX e il suo portafoglio nativo rimangono per il momento non operativi.
- Senza divulgare maggiori dettagli sull'esatta natura della vulnerabilità, il protocollo DeFi ha rivelato l'identificazione del bug e la scrittura di una patch.
- Gli sviluppatori stanno attualmente testando i protocolli prima di consigliare ai validatori di riavviare la rete.
“Aggiornamento: il bug è stato identificato e scritta una patch. Sono in corso ulteriori test prima che si raccomandi ai validatori di coordinare un riavvio. Report completo sui bug e piano d'azione per un test end-to-end più completo e corretto degli aggiornamenti della catena da seguire nei prossimi giorni".
- Successivamente, il team dietro il protocollo ha fornito maggiori informazioni su ciò che è accaduto, inclusa l'ammissione che $ 5 milioni sono stati scoperti e la promessa di restituire tutti i fondi persi.
- Prima di fornire ulteriori aggiornamenti in merito, il protocollo attuerà "molteplici modifiche e aggiornamenti ai nostri protocolli di sicurezza per garantire la qualità e la sicurezza di Osmosis".
Il bug stesso era semplice e comportava un calcolo errato delle quote LP durante l'aggiunta e la rimozione di liquidità dai pool.
Avrebbe dovuto essere catturato. È stato dolorosamente trascurato nei test interni incentrati su funzionalità più avanzate relative all'aggiornamento.
— Osmosi
(@osmosiszone) 8 giugno 2022