Quando a exchange descentralizada (DEX) Osmosis foi invadida na quarta-feira (08), uma dupla de validadores à paisana aproveitou a brecha exposta pelo hacker para roubar o próprio projeto que faziam parte.
Dois validadores do grupo “FireStake” conseguiram converter US$ 224 para US$ 2 milhões durante o hack e sacar os fundos para suas carteiras, conforme mostrou o The Block.
Dessa forma, a dupla, que não iniciou o ataque, acabou sendo responsável por quase metade do prejuízo total de US$ 5 milhões que a Osmosis sofreu com a invasão.
Mas a história não ficou por isso. Os validadores FireStake, grupo que administra um serviço de staking no ecossistema Cosmos — sobre o qual a DEX foi construída — parecem ter se arrependido do ocorrido e foram se explicar no Twitter.
Na descrença de que o ataque fosse real, os validadores começaram a testar o bug, replicando o ataque original. No momento que fizeram isso, a brecha ainda estava aberta no projeto e, segundo eles, o teste se transformou em um “lapso temporário de bom senso”.
“Estávamos pensando no futuro da nossa família e não no futuro da nossa comunidade. Pouco depois de fazer isso, nos estressamos durante toda a noite sobre como poderíamos acertar as coisas e agora estamos trabalhando com a equipe Osmosis para devolver os fundos o mais rápido possível”, tuitaram os validadores.
Leia Também
O cofundador da Osmosis, Sunny Agarwal, confirmou no Twitter que os responsáveis foram encontrados porque eles mesmo se entregaram, de tal forma que não se tratou de uma descoberta da equipe do projeto DeFi.
Enquanto isso, os invasores que roubaram os outros US$ 3 milhões no hack ainda são desconhecidos. De qualquer forma, a equipe da Osmosis já se comprometeu a usar seu próprio caixa para repor o dinheiro roubado e evitar que usuários do seu protocolo saiam no prejuízo.
Osmosis sob ataque
A Osmosis, considerada a maior DEX do ecossistema Cosmos em volume de negociação, foi invadida na quarta-feira após um hacker descobrir um bug nos pools de liquidez do projeto.
A falha permitia que um investidor, ao fornecer liquidez aos pools da DEX, fosse capaz de sacar 50% a mais de seu depósito inicial sem precisar passar por um período de “bonding”, no qual os fundos ficam bloqueados.
Na primeira vez que o bug foi explorado, um usuário depositou 26 tokens OSMO e ganhou outros 13 OSMO logo em seguida. Depois disso, saques maiores começaram a ser feitos.
Um único usuário, por exemplo, foi capaz de lucrar US$ 600 mil em criptomoedas repetindo esse ataque mais de 30 vezes. NO meio tempo, outros participantes da rede notaram o bug e começaram a explorá-lo também, assim como os validadores citados acima.
Os desenvolvedores pausaram o funcionamento do protocolo para resolver o problema e evitar ainda mais danos. Na manhã desta quinta (9), o site da DEX exibe um pop-up que diz que o bug foi corrigido e os validadores estão se organizando para restaurar a rede.