Osmosis, un exchange descentralizado (DEX) construido en la red Cosmos, se detuvo justo antes de las 3:00 am EST del miércoles después de que unos atacantes explotaran un fallo del proveedor de liquidez (LP) por un valor de aproximadamente USD 5 millones.

El bug se identificó por primera vez en un post de Reddit en la página oficial de la red Cosmos. El usuario Straight-Hat3855 llamó la atención sobre un "grave problema" con Osmosis (OSMO) que les permitía a los usuarios aumentar arbitrariamente los LP en un 50% simplemente añadiendo y eliminando liquidez. La publicación en Reddit fue eliminada rápidamente, pero no antes de que actores maliciosos se aprovecharan del fallo, que hizo que se extrajeran aproximadamente USD 5 millones de dólares de los fondos de liquidez en la bolsa de Osmosis.

Tras la explotación y la identificación del bug de LP, el exchange Osmosis se detuvo a una altura de bloque de 4,713,064, según un anuncio del explorador de bloques de Osmosis, Mintscan.

El moderador del proyecto RoboMcGobo explicó cómo funcionaba el fallo en una serie de mensajes en el Discord de Osmosis, y detalló cómo el fallo les permitía a los atacantes añadir liquidez a cualquier LP de Osmosis y luego retirarla inmediatamente para obtener un retorno del 150% de su depósito inicial: "Esencialmente, la función les daría un 50% de acciones LP de más para una unión", escribió RoboMcGobo justo después de las 16:00 horas del miércoles, y añadió: "Si uno debe obtener 10 acciones LP, se conseguirían 15".

RoboMcGobo explicó que el bug fue "explotado intencionadamente por un pequeño número de usuarios" y "aparentemente sin intención por otros pocos." Según un hilo de Twitter de Osmosis, cuatro atacantes fueron responsables del 95% del importe total del exploit, y dos de ellos dieron un paso al frente voluntariamente para devolver los fondos robados.

Aproximadamente una hora después del tuit de Osmosis sobre el ataque, FireStake, un validador del ecosistema Cosmos, publicó un hilo de Twitter en el que admitía que "un lapsus temporal de buen juicio" hizo que dos miembros de su equipo explotaran el bug hasta alcanzar aproximadamente USD 2 millones.

Firestake les dijo a sus 1,700 seguidores de Twitter que estaba "pensando en el futuro de [su] familia" cuando siguió explotando el bug. Sin embargo, después de admitir que "se estresó durante toda la noche" por el suceso, decidió devolver voluntariamente los fondos y "arreglar las cosas".

Según un post del cofundador de Osmosis, Sunny Aggarwal, los otros dos hackers responsables del robo realizaron una serie de transacciones a exchanges centralizados, lo que Aggarwal cree que facilitará su localización.

RoboMcGobo se hizo eco de las palabras de Aggarwal en el Discord del proyecto: "Los fondos han sido vinculados a cuentas de CEX. Se ha notificado a las fuerzas de seguridad... tenemos la esperanza de que los explotadores hagan lo correcto en este caso para que no sea necesaria una acción agresiva".

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Sigue leyendo: