Cosmos (ATOM) : le DEX Osmosis (OSMO) mis à l'arrêt suite à une faille à 5 millions de dollars

Des pools de liquidités drainées sur Osmosis

Tôt ce matin, une faille a été découverte sur les pools de liquidité de l'exchange décentralisé (DEX) Osmosis (OSMO) qui repose sur sa propre blockchain dédiée. L'information, d'abord révélée par un utilisateur de la plateforme Reddit (le post a depuis été supprimé), a été confirmée officiellement par les équipes d'Osmosis sur Twitter.

Liquidity pools were NOT "completely drained".

Devs are fixing the bug, scoping the size of losses (likely in the range of ~$5M), and working on recovery.

More info to come. https://t.co/WOu7MMgSUM

— Osmosis ? (@osmosiszone) June 8, 2022

Afin de prévenir d'éventuels dégâts financiers supplémentaires, la blockchain qui supporte le DEX a été mise à l'arrêt au bloc n°4 713 064 selon l'explorateur Mintscan. Cependant, un utilisateur malveillant a eu le temps d'exploiter la faille dans son intérêt.

Selon Osmosis, le montant du larcin se situerait autour des 5 millions de dollars. Les transactions du voleur (visibles sur l'explorateur de blocs) ont été finalisées 2 blocs avant l'arrêt de la blockchain.

Selon le dernier communiqué des équipes en charge du protocole, la faille a été identifiée et un correctif a été appliqué en conséquence. Des tests internes sont en cours afin de vérifier si une faille similaire n'est pas exploitable, et des ordres de redémarrage seront ensuite communiqués aux validateurs du réseau afin de pouvoir reprendre les opérations au plus vite.

Toutefois, il est prévu qu'un rapport détaillé soit communiqué dans les prochains jours et qu'une série de tests approfondis soient mis en place par les équipes techniques sur la blockchain afin de proposer une éventuelle mise à jour du réseau.

? À lire également : 7 bonnes pratiques pour protéger son portefeuille de cryptomonnaies d'un hack
Cryptoast Research : profitez de 50 % de réduction pour célébrer le halving !

Le déroulement de l'attaque

À en croire l'utilisateur de Reddit qui a signalé la faille en premier, cette dernière se situait directement au niveau des pools de liquidité elles-mêmes. Selon son observation, si un utilisateur du DEX apportait de la liquidité à une pool, il était en capacité d'en retirer 50 % de plus, et ce sans aucune période de verrouillage des fonds.

L'attaquant a ainsi multiplié les transactions en utilisant cette méthode. Il se pourrait toutefois qu'il l'ait découverte par pur hasard.

Effectivement, selon les données on-chain, seulement 26 tokens OSMO (environ 30 dollars au moment de l'attaque) ont été ajoutés à la pool de liquidité dans la première transaction, ce qui a résulté en un premier bénéfice de 13 OSMO supplémentaires lors du retrait.

La seconde transaction quant à elle est bien plus conséquente : l'utilisateur malveillant a déposé 101 230 tokens OSMO (soit plus de 116 000 dollars au moment de l'attaque) dans la pool, soit un gain de 58 207 dollars sous forme d'OSMO.

Il a ainsi répété l'opération en boucle, chaque fois avec un montant plus grand, avant de transférer une partie de ses tokens vers un autre portefeuille depuis lequel il a encore répété l'opération. Ce sont donc, au total, environ 5 millions de dollars qui ont été siphonnés grâce à ce procédé.

Le cours du token OSMO a été impacté dans une moindre mesure, subissant une perte de valeur de l'ordre des 7 % sur 24h. Il s'échange actuellement à 1,11 dollar, loin de son ATH (prix le plus haut) de 11,25 dollars atteint le 4 mars 2022.

💡 Sur le même sujet : Le serveur Discord du Bored Ape Yacht Club (BAYC) hacké, 32 NFTs se font subtiliser

Source : Reddit

Rédacteur en chef de Cryptoast, je m'emploie à démocratiser le monde des cryptomonnaies et du Web3 pour tous.

Maximilien Prué

1205 articles

Tous ses articles