TLDR
UwU Lend, ein dezentralisiertes Finanzprotokoll (DeFi), wurde am Montag, dem 10. Juni, gehackt und erbeutet und erbeutete fast 20 Millionen Dollar.
Der Angriff wurde zuerst von der On-Chain-Sicherheitsfirma Cyvers entdeckt, die UwU Lend über den laufenden Exploit informierte.
Der Angreifer nutzte ein Blitzdarlehen, um den Preis-Feed zu manipulieren und eine Schwachstelle im Preis-Orakel-System des Protokolls auszunutzen.
UwU Lend-Mitbegründer Michael Patryn, auch bekannt als 0xSifu, bot dem Hacker eine Belohnung von 20 % (rund 4 Millionen US-Dollar) für die Rückgabe der restlichen gestohlenen Gelder.
Der Vorfall verdeutlicht die Schwachstellen von DeFi-Plattformen und die Notwendigkeit stärkerer Sicherheitsmaßnahmen, um ähnliche Angriffe in Zukunft zu verhindern.
Das dezentralisierte Finanzprotokoll (DeFi) UwU Lend ist das jüngste Opfer eines großen Kryptowährungs-Hacks geworden, bei dem Angreifer am Montag, dem 10. Juni, digitale Vermögenswerte im Wert von fast 20 Millionen Dollar erbeuteten.
Der heutige Hack von @UwU_Lend führt zu einem Verlust von 19,4 Millionen US-Dollar.
Die Grundursache ist ein Preisorakelproblem. Insbesondere wird der sUSDe-Vermögenswert aus mehreren Quellen als Medianwert angegeben. Fünf davon, nämlich FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD und GHOUSDe, wurden während des Hacks manipuliert.
Der gestohlene… https://t.co/4ec92zxoql pic.twitter.com/xuGGegfDpV
— PeckShield Inc. (@peckshield), 10. Juni 2024
Der laufende Exploit wurde zuerst von der On-Chain-Sicherheitsfirma Cyvers entdeckt, die UwU Lend umgehend über den Angriff informierte.
In einem Beitrag auf der Social-Media-Plattform X (ehemals Twitter) schrieb Cyvers: „Hey @UwU_Lend, du wirst angegriffen! Bisher wurden der Adresse rund 14 Millionen Dollar gestohlen …“ Im Verlauf des Angriffs überschritt der Gesamtbetrag schnell die 20-Millionen-Dollar-Marke, was ihn zu einem der bedeutendsten Krypto-Hacks des Jahres machte.
????ALARM????Hey @UwU_Lend, du wirst angegriffen!
Bisher wurden der Adresse rund 14 Mio. US-Dollar gutgeschrieben
Weitere Updates folgen!
Bitte kontaktieren Sie uns, um zu erfahren, wie Sie Ihre digitalen Assets sichern können#CyversAlertpic.twitter.com/IND77hbTbH
— ???? Cyvers Alerts ???? (@CyversAlerts) 10. Juni 2024
UwU Lend, ein Protokoll, das es Benutzern ermöglicht, Kryptowährung einzuzahlen und auszuleihen, wurde im September 2022 von Michael Patryn, auch bekannt als 0xSifu, gegründet.
Patryn ist eine umstrittene Figur in der Krypto-Welt und vor allem als Mitbegründer der inzwischen nicht mehr existierenden Börse QuadrigaCX bekannt.
Trotz seiner relativ kurzen Geschichte hatte UwU Lend vor dem Exploit beeindruckende 91 Millionen US-Dollar an Total Value Locked (TVL) angehäuft.
Untersuchungen der Blockchain-Sicherheitsfirmen Cyvers und Beosin haben ergeben, dass der Angreifer für den Diebstahl eine ausgeklügelte Strategie anwandte.
Durch die Nutzung eines Blitzkredits war der Hacker in der Lage, den Preis-Feed der Stablecoin des Protokolls, USDe, und seiner synthetischen Version, sUSDe, zu manipulieren.
Durch diese Manipulation konnte der Angreifer eine kritische Schwachstelle im Preisorakelsystem von UwU Lend ausnutzen und so die Mittel des Protokolls plündern.
Die Hauptursache für den Exploit war laut Matthew Jiang, Direktor der Sicherheitsdienste bei Blocksec, ein falsch konzipiertes Blockchain-Oracle.
Oracles sind wichtige Komponenten von DeFi-Plattformen und dafür verantwortlich, dem Protokoll genaue Preisdaten bereitzustellen. Wenn diese Systeme nicht ausreichend gesichert oder konzipiert sind, werden sie zu Hauptzielen für Angreifer, die Schwachstellen ausnutzen und Gelder stehlen möchten.
Nach dem Angriff verfolgte UwU Lend-Mitbegründer Michael Patryn einen unkonventionellen Ansatz, um die gestohlenen Gelder zurückzuerhalten. Patryn, der eine bewegte Vergangenheit in der Kryptobranche hat, schickte dem Hacker eine Blockchain-Nachricht und bot eine Belohnung von 20 % (ungefähr 4 Millionen Dollar) im Austausch für die Rückgabe der verbleibenden 80 % der gestohlenen Vermögenswerte an.
Die Nachricht enthielt auch die Drohung, den Hacker „von allen Seiten“ zu verfolgen, wenn er dem Angebot nicht bis zum 12. Juni um 17:00 UTC nachkäme.
Obwohl solche Kopfgeldangebote in der Kryptowelt nicht ungewöhnlich sind, werden sie von Hackern selten angenommen. Es gab jedoch Fälle, in denen Angreifer als Reaktion auf ähnliche Angebote einen Teil der gestohlenen Gelder zurückgegeben haben.
Der Beitrag „Sie werden angegriffen! UwU Lend verliert 20 Millionen Dollar bei Flash-Loan-Angriff“ erschien zuerst auf Blockonomi.