Após o ataque de drenagem de ontem, a equipe Osmosis publicou um tópico de atualização no Twitter afirmando que todas as perdas serão compensadas. A equipe assumiu total responsabilidade pelo ataque e disse que a nova atualização levaria pelo menos dois dias para ser lançada devido a testes detalhados.
Em 8 de junho, quatro invasores aproveitaram o bug da atualização recente do Osmosis e drenado cerca de US$ 5 milhões dos pools de liquidez. A equipe da Osmosis identificou os indivíduos algumas horas após o ataque.
Última atualização da situação
Enquanto a equipe estava trabalhando para reiniciar o sistema, lançou um tópico de atualização no Twitter. No momento da redação deste artigo, esta é a última atualização que veio da equipe.
A equipe mencionou a recuperação dos fundos roubados, a razão por trás do bug no sistema e o cronograma para a próxima atualização.
Os fundos roubados serão devolvidos
Embora retenha os detalhes sobre como a equipe disse que o projeto cobriria as perdas.
Todas as perdas serão cobertas.
Isso está acontecendo por meio de uma combinação de esforços para maximizar a recuperação de fundos explorados e um compromisso de apoiar quaisquer fundos não recuperados do tesouro do desenvolvedor.
Mais informações sobre o plano de recuperação específico estarão disponíveis no futuro.
— Osmose 🧪 (@osmosiszone) 8 de junho de 2022
Algumas horas antes do último tópico de atualização, a equipe disse dois dos quatro exploradores se apresentaram e concordaram em devolver os fundos roubados. No entanto, no último tópico de atualização, a equipe está menos tranqüilizadora sobre as intenções dos invasores.
Em vez de se referir aos dois atacantes que alegaram que devolveriam os fundos roubados, a equipe apenas disse:
“Um pequeno número de carteiras foi responsável pela maioria dos fundos explorados e estamos confiantes de que teremos uma alta taxa de recuperação dessas carteiras.”
A equipe assume total responsabilidade
A equipe do Osmosis lançou uma atualização para a rede, Osmosis v9.0, em 8 de junho de 2022. Levou apenas algumas horas para os invasores reconhecerem um bug na nova atualização e explorá-lo.
De acordo com seus tweets, a equipe Osmosis assumiu total responsabilidade pelo ataque porque o bug explorado resultou de um erro óbvio.
Eles admitiram que o bug era simples e deveria ter sido notado e corrigido durante os testes. Mencionando:
“Foi dolorosamente esquecido em testes internos focados em funcionalidades mais avançadas relacionadas à atualização.”
A futura atualização
A Osmosis aprendeu com seus erros e disse que levará algum tempo com a próxima atualização para garantir que tal ataque nunca aconteça novamente.
A equipe disse que identificou a razão por trás do bug e está trabalhando nisso. No entanto, eles também disseram que se concentrariam nos protocolos de segurança em geral, em vez de apenas corrigir o bug para a próxima atualização.
“Antes de enviar qualquer atualização futura, implementaremos várias alterações e atualizações em nossos protocolos de segurança para garantir a qualidade e a segurança do Osmosis. Uma retrospectiva abrangente sobre processos de desenvolvimento seguros será feita por várias entidades de desenvolvimento principais.”
Como o escopo da atualização é relativamente grande, a equipe da Osmosis estima que a próxima atualização levará pelo menos dois dias para ser lançada.
