Hacker použil masivní „flash půjčku“ k odčerpání 20 milionů dolarů z UwU Lend, protokolu pro půjčování kryptopůjček, který založil Michael Patryn, internetový podnikatel, který provozoval QuadrigaCX, kanadskou kryptoburzu, která se zhroutila v roce 2018 kvůli podvodu.
V UwU, Patryn, který je známější pod svým pseudonymem 0xSifu, nabídl hackerovi dohodu: Vraťte asi 16 milionů dolarů v krypto a my stáhneme veškeré potenciální poplatky.
"Nabízíme 20% odměnu v bílém klobouku ze všech přijatých prostředků," napsal Patryn ve zprávě zaslané na Ethereum. "Nebudete čelit žádnému riziku, že v tom budeme pokračovat, a žádnému riziku problémů s vymáháním práva."
Tento trik je standardní operační postup v kryptoměnách, kde je identifikace hackerů a získávání ukradených tokenů časově náročným utrpením. Ale hackeři to často ignorují, až na několik významných výjimek.
UwU Lend, který byl spuštěn v roce 2022, je klonem půjčovacího protokolu Aave, který byl od pondělí druhým největším protokolem v decentralizovaném financování s více než 20 miliardami dolarů v uživatelských vkladech.
Ale klíčová změna umožnila hackerovi vyčerpat protokol v sérii transakcí brzy v pondělí, podle krypto bezpečnostní firmy Blocksec: použití snadno manipulovatelných cenových „věštců“, které poskytují UwU cenu různých tokenů.
Spolu s bleskovou půjčkou v hodnotě mnoha miliard dolarů – možná až 4 miliardy dolarů, podle Matthewa Jianga, ředitele bezpečnostních služeb ve společnosti Blocksec – byl hacker schopen vysát z UwU asi 20 milionů dolarů.
"Flash útočníka zapůjčil obrovské množství majetku," řekl Jiang DL News. "Téměř si vypůjčil všechna aktiva v řetězci, která lze bleskově půjčit."
Na X vývojáři UwU řekli, že pozastavili protokol, zatímco vyšetřovali hack. UwU v pondělí okamžitě nevrátila žádost DL News o komentář.
Flash půjčky
Flash půjčky umožňují půjčování s nulovým zajištěním, které musí být splaceno v rámci stejné transakce na blockchainu. Obchodníci využívají tyto půjčky pro arbitrážní obchodování.
Ale zlomyslní aktéři mohou také použít bleskové půjčky k odsávání likvidity z protokolů DeFi. Půjčky poskytují kapitál potřebný k využití zranitelností v kódu protokolu.
Loni Ethereum půjčovací protokol Euler Finance původně ztratil 197 milionů dolarů při útoku na flashovou půjčku, ačkoli hacker později vrátil 85 % ukradeného kryptoměny.
Mezi další nedávné zneužití bleskových půjček patří hacknutí Sonne Finance za 20 milionů dolarů z minulého měsíce a hacknutí Hedgeyho za 44 milionů dolarů v dubnu.
V prvních pěti měsících roku hackeři ukradli z protokolů DeFi odhadem 560 milionů dolarů – podle údajů DefiLlama jde o 32% nárůst oproti stejnému období předchozího roku.
Patryn byl spoluzakladatelem QuadrigaCX, která se zhroutila kvůli podvodu spáchanému spoluzakladatelem Garym Cottenem, podle Ontarijské burzy cenných papírů.
Výměna se zhroutila dva roky poté, co ji Patryn opustil. Patryn se později stal – pod svým pseudonymem 0xSifu – správcem pokladny pro Wonderland, populární protokol DeFi. Token tohoto protokolu se zhroutil v lednu 2022 poté, co byla odhalena Patrynova identita.
Aleks Gilbert je korespondentem DeFi ve společnosti DL News. Máte tip? Napište mu na aleks@dlnews.com.