DeFI : Un hack de 5 millions de dollars sur Osmosis

Osmosis, blockchain phare de l’écosystème Cosmos Network, a été victime d’un hack entrainant une perte estimée de 5 millions de dollars.
Osmosis hack
Getting your Trinity Audio player ready...

Dernière modification effectuée le 15.09.2023 15:33

L’une des plus grandes menaces pour le secteur des crypto monnaies et de la blockchain, outre celle de la régulation, se caractérise par le risque cyber. Bien que l’existence de ces failles ne soit pas une surprise, leur exploitation par des personnes malveillantes impacte la confiance des utilisateurs envers le domaine. Cette nuit, la blockchain phare de l’écosystème Cosmos, Osmosis, a été victime d’un hack.

La découverte de cette faille s’est déroulée de manière atypique. En effet, c’est par le biais d’un post reddit que les utilisateurs – et les développeurs – ont pris connaissance de sa présence.

La vulnérabilité a été remontée par un utilisateur nommé Straight-Hat3855 dans un post sur les subreddits /r/CosmosNetwork et /r/OsmosisLab intitulé sobrement : « Bug sur Osmosis. C’est un sérieux problème ».

Un hack d’Osmosis exploitant une faille dans les pools de liquidités du DEX

Osmosis est une blockchain de l’écosystème Cosmos qui permet de créer des AMM (market maker automatisé). Ainsi, grâce à Osmosis, les développeurs peuvent créer des AMM personnalisés ainsi que des pools de liquidités. À titre de comparaison, Osmosis s’apparente à PancakeSwap ou à Uniswap.

Cette faille exploitait un bug au sein des pools de liquidités. Concrètement, lorsqu’un utilisateur ajoutait des fonds à une pool de liquidité puis les retirait quelques minutes plus tard, la position initiale de ce dernier augmentait de manière conséquente.

Dans le post reddit, suscitant la perplexité de la communauté au départ, le lanceur d’alerte proposait aux gens d’essayer de le faire en mettant $5 dans une pool de liquidité. D’après lui, dès que l’on retirait les fonds de la pool il était possible d’obtenir instantanément $15. La curiosité des personnes ayant fait son effet, ces derniers ont essayé la méthode et ont pu attester de la véracité du processus.

Après étude des transactions on-chain, les analystes se sont aperçus que la faille avait déjà commencé à être fortement exploitée par les utilisateurs. De fait, une grande partie des fonds d’Osmosis présent sur les pools de liquidités ont été siphonnés par ce hack.

Exemple Osmosis Hack

Les développeurs et validateurs du réseau prennent la décision d’arrêter la blockchain

Bien que la cause de ce hack ne soit pas encore déterminée avec exactitude, les développeurs et validateurs du réseau ont dû réagir rapidement pour arrêter l’hémorragie. De fait, ils ont pris la décision d’arrêter la blockchain au bloc #4713064 afin de procéder à une maintenance d’urgence. Ainsi, pour l’heure, le DEX d’Osmosis ainsi que le portefeuille natif de la blockchain sont inutilisables par les utilisateurs.

Le twitter officiel d’Osmosis a réagi rapidement à ce hack. Ils ont tout d’abord assuré que « les pools de liquidités n’étaient pas complètement épuisés » avant d’estimer les pertes liées à l’exploitation de cette faille à 5 millions de dollars.

Certains utilisateurs mécontents sur twitter s’interrogent sur la décentralisation réelle de la blockchain si cette dernière peut être mise à l’arrêt aussi facilement. Néanmoins, dans une telle situation, la possibilité de protéger les fonds des utilisateurs semble apparaître comme vitale pour l’écosystème.

En tout état de cause, en attendant la correction de la faille et le redémarrage du réseau d’Osmosis, ce hack est une nouvelle preuve de la nécessité de faire preuve d’une extrême vigilance dans la DeFI.

Articles qui pourraient vous intéresser