Die Nutzer von UwU Lend freuten sich am Mittwoch, nachdem das Kreditprotokoll bekannt gab, dass es in der Lage sei, die Opfer des jüngsten Angriffs auf 23 Millionen US-Dollar vollständig zu entschädigen.
Ihre Feierlichkeiten wurden jedoch jäh unterbrochen, als derselbe Hacker um 7:46 Uhr Londoner Zeit zurückkam und weitere 3,7 Millionen Dollar erbeutete.
🚨SlowMist-Sicherheitswarnung🚨
Wir haben festgestellt, dass @UwU_Lend einen weiteren Verlust von 3,72 Mio. $ erlitten hat.https://t.co/ttLSq0m18u
Bleiben Sie wie immer wachsam! pic.twitter.com/6tz2e5NDwx
– SlowMist (@SlowMist_Team), 13. Juni 2024
Und das, obwohl UwU Lend dem Hacker eine Belohnung von 20 % – also 4 Millionen US-Dollar – angeboten hatte, damit er den Benutzern ihre Gelder aus dem ersten Hack zurückgibt.
Der zweite Hack erfolgte, nachdem UwU Lend in einem X-Post vom 12. Juni erklärte, dass es die Schwachstelle in seinem sUSDe-Markt, die der Hacker zuvor ausgenutzt hatte, identifiziert und behoben habe.
„Alle anderen Märkte wurden von Branchenexperten und Wirtschaftsprüfern erneut überprüft, ohne dass Probleme oder Bedenken festgestellt wurden“, heißt es im Protokoll.
UwU Lend hat auf die Bitte um Stellungnahme nicht geantwortet.
UwU Lend begann am Mittwoch mit der Rückzahlung an Benutzer, nachdem es durch den 23-Millionen-Dollar-Sicherheitslücken vorübergehend offline gegangen war.
Um 5 Uhr morgens am Donnerstag hieß es laut Protokoll, dass etwa 9,7 Millionen Dollar, die beim ersten Hack gestohlen worden waren, zurückgezahlt worden seien.
„Das Protokoll wird alle uneinbringlichen Schulden so schnell wie möglich zurückzahlen“, sagte UwU Lend. „Wir freuen uns, bekannt geben zu können, dass durch diesen Prozess keine Benutzergelder verloren gegangen sind.“
Der umstrittene Gründer von UwU Lend, Michael Patryn, besser bekannt unter seinem Pseudonym 0xSifu, hatte zuvor angeboten, alle Anklagen fallen zu lassen, wenn der Hacker 80 Prozent der gestohlenen Kryptowährung im Wert von etwa 18 Millionen Dollar zurückgibt.
Oracle-Angriff
Am Montag nutzte ein Hacker einen Blitzkredit im Wert von 4 Milliarden US-Dollar, um den Preis bestimmter Token auf UwU Lend zu manipulieren, was ihm ermöglichte, das Protokoll zu leeren.
Ein Blitzkredit ist eine Art DeFi-Transaktion, bei der ein Benutzer Geld von einem Kreditprotokoll leiht und es in derselben Transaktion zurückzahlt.
Während Blitzkredite häufig von Market Makern genutzt werden, um Preisunterschiede auf DeFi-Märkten schnell auszugleichen, ermöglichen sie auch Exploits, deren Durchführung große Kapitalmengen erfordert.
Circuit-Gründer Martin Derka – der bei der Krypto-Sicherheitsfirma Quantstamp ein Tool zur Erkennung von Exploits auf Basis von Blitzkrediten mitentwickelt hat – sagte, solche Exploits seien im DeFi-Bereich berüchtigt.
„Diese Art von Schwachstellen sind bei Smart-Contract-Audits normalerweise sehr schwer zu entdecken, da sie fundierte Kenntnisse mehrerer Protokolle erfordern – derjenigen, die geprüft werden, und derjenigen, die als Orakel verwendet werden“, sagte er gegenüber DL News.
„Zudem gibt es nicht genügend automatisierte Tools, die in der Lage sind, solche Schwachstellen zu entdecken.“
UwU Lend wurde 2022 eingeführt und ist ein Fork von Aave, dem größten DeFi-Kreditprotokoll mit Einlagen in Höhe von 12,4 Milliarden US-Dollar.
Bei einem Fork verwendet ein Entwicklerteam den Open-Source-Code eines bestehenden DeFi-Protokolls, um ein ähnliches Protokoll zu starten – häufig auf einer anderen Blockchain oder mit geringfügigen Änderungen.
Doch die Änderungen am Code von Aave ermöglichten es dem Hacker, UwU Lend zu plündern. Das Protokoll verwendete leicht manipulierbare Orakel – Software, die ihm die Preise verschiedener Token liefert.
Der UWU-Token von UwU Lend ist in der letzten Woche um 15 % gefallen und wird bei etwa 2,70 $ gehandelt.
Aleks Gilbert ist DeFi-Korrespondent bei DL News. Haben Sie einen Tipp? Senden Sie ihm eine E-Mail an aleks@dlnews.com.
