Le protocole de réseau Cosmos échoue et perd 15 millions de BRL

Le protocole de financement décentralisé (DeFi) Osmosis Network a interrompu ses opérations dans le bloc # 4713064. L’équipe a pris des mesures mercredi soir après avoir détecté une vulnérabilité critique dans ses pools de liquidités.

Selon l’équipe, un hacker a pu profiter de la faille du bloc #4713062. C’est-à-dire deux pâtés de maisons avant l’arrêt. En conséquence, le pirate a réussi à voler l’équivalent de 25 millions de BRL de jetons OSMO.

Au début, l’attaque aurait pu vider tout le protocole de liquidités, mais Osmosis a réussi à éviter la crise. Le pirate a cependant réussi à mener à bien plusieurs transactions.

Attaque découverte sur Reddit

Un utilisateur de Reddit a été le premier à alerter sur la faille. Selon la publication, si un client déposait des fonds dans un pool Osmose, il gagnerait 50% supplémentaires. Cependant, c’est une faille qui ne devrait pas se produire dans le protocole.

L’utilisateur a supprimé le message, mais les utilisateurs ont commencé à exploiter la vulnérabilité peu de temps après pour voler des fonds à Osmosis.

Dans l’un de ces cas, un acteur malveillant a effectué cette opération au moins 30 fois. La transaction a commencé par fournir des liquidités de 101 230 OSMO et a réalisé un bénéfice de 50 % après avoir quitté la position. En faisant cela à plusieurs reprises, le pirate a réussi à lever l’équivalent de près de 25 millions de reais.

Plus tard, les validateurs ont commencé à signaler des problèmes sur Discord après une mise à jour d’Osmosis. Lorsque cela s’est produit, l’équipe a déterminé un arrêt d’urgence sur le réseau, pour éviter la perte de liquidité.

En conséquence, l’échange décentralisé (DEX) et le portefeuille natif Osmosis restent inopérants pour le moment. Le protocole fonctionne sur le réseau Cosmos (ATOM), mais ni le jeton OSMO ni l’ATOM n’ont enregistré de dévaluations après l’attaque.

Détails et correction

Tôt mercredi soir, Osmosis a identifié le défaut et a écrit un long fil sur le Twitter expliquant ce qui s’est passé. L’échec a touché peu de portefeuilles et l’équipe a assuré que les pertes seraient couvertes.

Ensuite, les développeurs ont expliqué que le protocole subirait des tests pendant que le réseau serait en panne. Ce n’est qu’après avoir terminé cette partie que les validateurs pourront redémarrer Osmosis.

« Mise à jour : le bogue a été identifié et un correctif a été écrit. Des tests sont en cours avant que nous n’autorisions les validateurs à redémarrer le réseau. Nous publierons un rapport de bogue complet ainsi qu’un plan d’action pour effectuer des tests plus approfondis dans les prochains jours.

L’équipe a également confirmé le montant de R$ 25 millions volé par le pirate. Selon l’explication, l’erreur s’est produite dans le calcul de la part des fournisseurs de liquidité (PL), qui a été mal calculée.

Ce calcul est effectué lorsque les PL ajoutent ou retirent des liquidités du protocole. Apparemment, l’échec a fait que les récompenses versées étaient supérieures à la valeur attendue. En conséquence, les utilisateurs ont pu retirer plus que ce qui avait été déposé sur DEX.

Osmosis a admis qu’il y avait un manquement et une négligence de la part de l’équipe pour ne pas identifier la faille. Même avec des tests avancés, la faille est passée inaperçue.

Avant de donner d’autres mises à jour à ce sujet, le protocole mettra en œuvre plusieurs modifications et mises à jour de sécurité pour assurer la qualité et la sécurité d’Osmosis. Cependant, l’équipe n’a pas donné de délai pour la reprise des opérations d’Osmose.

Lire aussi : Litcoin risque une vente épique avec un retrait massif de la cote en Corée

Lisez aussi: Cardano pourrait augmenter en atteignant 1 000 contrats intelligents

A lire aussi : Solana et Luna Classic en hausse de 5%, ChainkLink se démarque et Bitcoin reste stable en 24h