UwU Lend fue pirateado nuevamente por 3,7 millones de dólares en medio de un plan de recuperación del primer ataque

Los usuarios de UwU Lend se regocijaron el miércoles después de que el protocolo de préstamos dijera que podía reembolsar completamente a las víctimas de su reciente exploit de 23 millones de dólares.

Pero sus celebraciones se vieron truncadas cuando a las 7:46 am, hora de Londres, el mismo hacker regresó y se llevó otros 3,7 millones de dólares.

🚨Alerta de seguridad de SlowMist🚨

Hemos detectado que @UwU_Lend ha sufrido otra pérdida de 3,72 millones de dólares. https://t.co/ttLSq0m18u

Como siempre, ¡mantente alerta! pic.twitter.com/6tz2e5NDwx

– SlowMist (@SlowMist_Team) 13 de junio de 2024

Esto a pesar de que UwU Lend ofreció al hacker una recompensa del 20% (por valor de 4 millones de dólares) para devolver los fondos de los usuarios del primer hack.

El segundo ataque se produce después de que UwU Lend dijera en una publicación X del 12 de junio que había identificado y solucionado la vulnerabilidad en su mercado sUSDe que el pirata informático explotó anteriormente.

"Todos los demás mercados han sido revisados ​​nuevamente por profesionales y auditores de la industria sin encontrar problemas o inquietudes", decía el protocolo.

UwU Lend no respondió a una solicitud de comentarios.

UwU Lend comenzó a pagar a los usuarios el miércoles después de que el exploit de 23 millones de dólares lo obligara a desconectarse temporalmente.

A las 5 de la mañana del jueves, el protocolo dijo que había reembolsado alrededor de 9,7 millones de dólares robados en el primer ataque.

“El protocolo pagará todas las deudas incobrables tan pronto como sea razonablemente posible”, dijo UwU Lend. "Nos complace anunciar que no se han perdido fondos de usuarios debido a este proceso".

El controvertido fundador de UwU Lend, Michael Patryn, más conocido por su seudónimo 0xSifu, había ofrecido previamente retirar cualquier cargo si el hacker devolvía el 80% de la criptografía robada, valorada en unos 18 millones de dólares.

Ataque de oráculo

El lunes, un hacker utilizó un préstamo rápido de 4 mil millones de dólares para manipular el precio de ciertos tokens en UwU Lend, lo que les permitió vaciar el protocolo.

Un préstamo rápido es un tipo de transacción DeFi en la que un usuario toma prestados fondos de un protocolo de préstamo y los reembolsa en la misma transacción.

Si bien los creadores de mercado suelen utilizar préstamos rápidos para arbitrar rápidamente las diferencias de precios en los mercados DeFi, también posibilitan hazañas que requieren grandes cantidades de capital para realizarse.

El fundador del circuito, Martin Derka, quien codesarrolló una herramienta para detectar exploits basados ​​en préstamos flash mientras trabajaba en la firma de seguridad criptográfica Quantstamp, dijo que tales exploits eran notorios en DeFi.

"Este tipo de vulnerabilidades suelen ser muy difíciles de descubrir durante las auditorías de contratos inteligentes, porque requieren un conocimiento profundo de múltiples protocolos: los que se están auditando y los que se utilizan como oráculos", dijo a DL News.

"Tampoco hay suficientes herramientas automatizadas que sean capaces de descubrir este tipo de vulnerabilidades".

Lanzado en 2022, UwU Lend es una bifurcación de Aave, el mayor protocolo de préstamos DeFi con 12.400 millones de dólares en depósitos.

Una bifurcación es donde un equipo de desarrolladores utiliza el código fuente abierto de un protocolo DeFi existente para lanzar un protocolo similar, a menudo en una cadena de bloques diferente o con cambios menores.

Pero los cambios en el código de Aave permitieron al hacker drenar UwU Lend. El protocolo utilizaba oráculos fácilmente manipulables, un software que le proporciona los precios de varios tokens.

El token UWU de UwU Lend ha bajado un 15% durante la semana pasada y se cotiza a alrededor de 2,70 dólares.

Aleks Gilbert es corresponsal de DeFi en DL News. ¿Tienes un consejo? Envíele un correo electrónico a aleks@dlnews.com.