Multiplier son argent en quelques clics : une faille découverte sur Osmosis DEX

Les hackers font une nouvelle victime – Osmosis est une blockchain de l’écosystème Cosmos développée par l’entreprise Osmosis Labs. En pratique, celle-ci héberge, Osmosis DEX, l’une des principales plateformes d’échange décentralisées de Cosmos. Celle-ci a récemment été mise à mal suite à une faille entrainant la perte de 5 millions de dollars. 

Faille Osmosis DEX : doubler son argent en quelques clics

Le 8 juin, l’utilisateur Straight-Hat3855 du subreddit /r/cosmosnetwork a alerté la communauté d’un curieux problème affectant la plateforme d’échange décentralisée Osmosis. En effet, celui-ci a découvert qu’un bug affectait les pools de liquidités.

« Allez mettre 5 $ dans la pool 1. Ajoutez de la liquidité, puis enlevez de la liquidité. Maintenant, vous avez 15 $. »

Un message surprenant, qui a rendu perplexes de nombreux internautes, persuadés que cela ne pouvait pas être vrai. Évidemment, bon nombre d’entre eux sont tout de même allés vérifier par l’expérience les affirmations de Straight-Hat3855. 

À leur grande surprise, ses affirmations étaient bel et bien fondées. Après cette découverte, de nombreux utilisateurs se sont mis à répéter l’opération dans le but de multiplier facilement leurs fonds

En effet, contrairement à la plupart des bugs DeFi nécessitant des flash loans, ou encore une compréhension avancée des smart contract, celui-ci pouvait être exploité par n’importe qui. 

C’est notamment le cas de l’adresse osmo1hq qui a répété la manœuvre des dizaines de fois. À chaque itération, ce dernier a pu récupérer 50% de fonds supplémentaires sur son montant initialement déposé.

Exemple de deux transactions d'ajout puis de retrait de liquidité, avec un gain de 50%.
Exemple de deux transactions d’ajout puis de retrait de liquidité, avec un gain de 50%.

>> 10% de réduction sur vos frais de trading ? Inscrivez-vous sur Binance (lien commercial) <<

5 millions dérobés : Osmosis forcé de mettre en pause la chaine

Évidemment, de nombreux utilisateurs ont effectué la même technique qu’osmo1hq. Par conséquent, plus de 5 millions de dollars ont été siphonnés des pools de liquidités d’Osmosis DEX. 

Peu de temps après les faits, les équipes d’Osmosis ont communiqué via Twitter, annonçant la présence de la faille. De surcroit, ces derniers ont décidé de mettre en pause la chaine Osmosis, le temps de corriger la faille afin de ne pas alourdir le bilan des pertes. 

« Bonjour les amis Osmosis. Depuis le bloc #4713064, la chaîne Osmosis a été arrêtée pour une maintenance d’urgence. Pour le moment, le DEX et le portefeuille Osmosis sont inopérants, et ce, jusqu’à ce que les réparations soient terminées. »

Après enquête, les équipes ont déclaré que le bug était relativement simple, à savoir un mauvais calcul des parts de LP lors de l’ajout et du retrait de liquidité. Difficile de savoir comment un bug si trivial a pu passer les étapes de tests du code. 

Concernant les pertes, Osmosis a annoncé que « l’ensemble des pertes seraient couvertes ». Pour ce faire, ils comptent sur la récupération d’une partie des fonds dérobés. Les fonds manquants seront eux imputés au fonds de trésorerie dédié aux développeurs.

Un validateur prend part à l’attaque

Alors que l’affaire semblait sous contrôle, un nouveau rebondissement est survenu. Quelques heures après les faits, l’entreprise FireStake, qui offre un service de validateur pour le réseau Osmosis et de nombreux autres réseaux de l’écosystème Cosmos a fait une annonce pour le moins surprenante. 

Ainsi, FireStake a déclaré avoir, elle aussi, profité du bug découvert sur Osmosis DEX. Au total, celle-ci serait responsable du siphonnage de 2 millions de dollars

“Incrédules quant à l’existence de la faille, deux membres de FireStake ont commencé à tester pour voir si le bug existait. Le test s’est transformé en une erreur de jugement temporaire. Dans le processus, nous avons réussi à convertir 226 USD en ~2M$. Nous pensions à l’avenir de notre famille, et non à celui de notre communauté.”

Pris par les remords, les équipes de FireStake ont décidé de rendre leur méfait public et ont annoncé avoir pris contact avec les équipes d’Osmosis pour restituer les fonds dérobés. 

Une situation délirante, dans laquelle un validateur, censé sécuriser le réseau, auquel des utilisateurs font confiance en déléguant leur fonds, en arrive à exploiter une faille et être à l’origine de près de la moitié des fonds dérobés. 

Sur Ethereum, un white hat a réussi à dérober 70 000 ETH après avoir découvert une faille pour les mettre en lieu sûr. En échange du sauvetage de plus de 120 millions de dollars, celui-ci a obtenu une récompense juteuse de 6 millions de dollars.

Saviez-vous qu’en plus de vous permettre d’acheter et d’échanger des bitcoins et autres cryptomonnaies, la plateforme Binance propose aussi de prendre part à du minage de bitcoins ? Venez découvrir cette offre, et l’ensemble des autres propositions du leader crypto en vous enregistrant sur Binance. Vous économiserez 10% sur vos frais de trading en suivant ce lien (lien commercial).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.