O protocolo de finanças descentralizadas (DeFi) Osmosis Network paralisou suas operações no bloco #4713064. A equipe tomou a medida na noite da quarta-feira (8), após detectar uma vulnerabilidade crítica em seus pools de liquidez.
De acordo com a equipe, um hacker conseguiu aproveitar a falha no bloco #4713062. Ou seja, dois blocos antes da paralisação. Como resultado, o hacker conseguiu roubar o equivalente a R$ 25 milhões em tokens OSMO.
A princípio, o ataque poderia ter drenado a liquidez de todo o protocolo, mas a Osmose conseguiu evitar a crise. O hacker, no entanto, conseguiu realizar várias transações com sucesso.
Ataque descoberto no Reddit
Um usuário do Reddit foi o primeiro a alertar sobre a falha. Conforme a publicação, se um cliente depositasse fundos em um pool da Osmosis, ganharia 50% extra. No entanto, isso é uma falha que não deveria acontecer no protocolo.
O usuário apagou a publicação, mas os usuários começaram a explorar a vulnerabilidade logo depois para roubar fundos da Osmosis.
Em um desses casos, um agente malicioso realizou esta operação pelo menos 30 vezes. A operação começou fornecendo liquidez de 101.230 OSMO e obteve um lucro de 50% após sair da posição. Ao fazer isso repetidamente, o hacker conseguiu levantar o equivalente a quase R$ 25 milhões.
Posteriormente, os validadores começaram a relatar problemas no Discord após uma atualização do Osmosis. Quando isso aconteceu, a equipe determinou a parada de emergência na rede, para evitar a perda da liquidez.
Como resultado, tanto a exchange descentralizada (DEX) e a carteira nativa do Osmosis permanecem inoperantes por enquanto. O protocolo é executado na rede Cosmos (ATOM), mas nem o token OSMO, nem o ATOM registraram desvalorizações após o ataque.
Detalhes e correção
Logo na noite da quarta-feira, o Osmosis identificou a falha e escreveu um longo fio no Twitter explicando o que aconteceu. A falha atingiu poucas carteiras e a equipe garantiu que os prejuízos serão cobertos.
Em seguida, os desenvolvedores explicaram que o protocolo passará por testes enquanto a rede estiver paralisada. Somente após a conclusão desta parte, os validadores poderão reiniciar a Osmosis.
“Atualização: O bug foi identificado e um patch foi escrito. Os testes estão em andamento antes que nós autorizemos os validadores a reiniciar a rede. Vamos divulgar um relatório completo de bugs, bem como um plano de ação para realizar testes mais completos nos próximos dias”, afirmou a equipe.
A equipe também confirmou o valor de R$ 25 milhões roubado pelo hacker. De acordo com a explicação, o erro ocorreu no cálculo da participação dos provedores de liquidez (PL), mal calculado.
Este cálculo é realizado quando os PL adicionam ou retiram liquidez do protocolo. Ao que tudo indica, a falha fez com que as recompensas pagas ficassem acima do valor esperado. Como resultado, os usuários puderam sacar mais do que o que foi depositado na DEX.
O Osmosis admitiu que houve falha e negligência da equipe em não identificar a falha. Mesmo com a realização de testes avançados, a falha passou despercebida.
Antes de dar mais atualizações sobre o assunto, o protocolo implementará múltiplas alterações e atualizações de segurança para garantir a qualidade e a segurança da Osmose. No entanto, a equipe não deu um prazo para retomar as operações da Osmosis.