Uživatelé UwU Lend se ve středu radovali poté, co půjčovací protokol uvedl, že je schopen plně uhradit oběti svého nedávného zneužití ve výši 23 milionů dolarů.

Ale jejich oslavy byly přerušeny, když se v 7:46 londýnského času vrátil stejný hacker, aby si odnesl dalších 3,7 milionu dolarů.

🚨 Bezpečnostní upozornění SlowMist🚨

Zjistili jsme, že @UwU_Lend utrpěl další ztrátu ve výši 3,72 milionů $.https://t.co/ttLSq0m18u

Jako vždy buďte ostražití! pic.twitter.com/6tz2e5NDwx

— SlowMist (@SlowMist_Team) 13. června 2024

A to i přesto, že UwU Lend nabízí hackerovi 20% odměnu – v hodnotě 4 miliony dolarů – na vrácení prostředků uživatelů z prvního hacku.

Druhý hack přichází poté, co UwU Lend v příspěvku z 12. června X uvedl, že identifikoval a opravil zranitelnost na svém trhu sUSDe, kterou hacker dříve zneužil.

„Všechny ostatní trhy byly znovu přezkoumány odborníky z oboru a auditory, aniž by byly nalezeny žádné problémy nebo obavy,“ uvádí protokol.

UwU Lend nevrátila žádost o komentář.

Společnost UwU Lend začala uživatelům splácet ve středu poté, co ji zneužití ve výši 23 milionů dolarů vynutilo dočasně offline.

Ve čtvrtek v 5 hodin ráno protokol uvedl, že splatil asi 9,7 milionu dolarů ukradených při prvním hacku.

"Protokol splatí všechny nedobytné dluhy tak rychle, jak je to rozumně možné," řekl UwU Lend. "S radostí oznamujeme, že v důsledku tohoto procesu nedošlo ke ztrátě žádných uživatelských prostředků."

Kontroverzní zakladatel UwU Lend Michael Patryn, známější pod svým pseudonymem 0xSifu, již dříve nabídl, že stáhne jakákoli obvinění, pokud hacker vrátí 80 % ukradeného krypto v hodnotě asi 18 milionů dolarů.

Oracle útok

V pondělí hacker použil bleskovou půjčku 4 miliardy dolarů k manipulaci s cenou určitých tokenů na UwU Lend, což jim umožnilo vyčerpat protokol.

Flash půjčka je typ transakce DeFi, kdy si uživatel půjčuje finanční prostředky z výpůjčního protokolu a splácí je ve stejné transakci.

Zatímco bleskové půjčky často používají tvůrci trhu k rychlé arbitráži cenových rozdílů na trzích DeFi, umožňují také zneužití, které vyžaduje velké množství kapitálu k provedení.

Zakladatel Circuit Martin Derka, který se podílel na vývoji nástroje pro odhalování zneužití založených na flashových půjčkách, když pracoval v krypto bezpečnostní firmě Quantstamp, uvedl, že takové exploity jsou v DeFi notoricky známé.

„Tyto druhy zranitelnosti je obvykle velmi obtížné odhalit během auditů inteligentních smluv, protože vyžadují důkladnou znalost více protokolů – těch, které jeden kontroluje, i těch, které se používají jako věštci,“ řekl DL News.

"Neexistuje také dostatek automatizovaných nástrojů, které jsou schopny odhalit taková zranitelnost."

UwU Lend, který byl spuštěn v roce 2022, je fork Aave, největšího protokolu půjček DeFi s vklady ve výši 12,4 miliardy dolarů.

Fork je místo, kde vývojářský tým používá otevřený zdrojový kód ze stávajícího protokolu DeFi ke spuštění podobného protokolu – často na jiném blockchainu nebo s drobnými změnami.

Změny v kódu Aave však hackerovi umožnily vyčerpat UwU Lend. Protokol používal snadno manipulovatelné věštce — software, který mu poskytuje ceny různých tokenů.

Token UWU společnosti UwU Lend se za poslední týden snížil o 15 % a obchoduje se kolem 2,70 USD.

Aleks Gilbert je korespondentem DeFi v DL News. Máte tip? Napište mu na aleks@dlnews.com.