TLDR
UwU Lend, un protocole de finance décentralisée (DeFi), a été piraté pour près de 20 millions de dollars le lundi 10 juin.
L'attaque a été découverte pour la première fois par la société de sécurité en chaîne Cyvers, qui a alerté UwU Lend de l'exploit en cours.
L’attaquant a utilisé un prêt flash pour manipuler le flux de prix et exploiter une vulnérabilité dans le système d’oracle des prix du protocole.
Michael Patryn, co-fondateur d'UwU Lend, également connu sous le nom de 0xSifu, a offert au pirate informatique une prime de 20 % (environ 4 millions de dollars) pour restituer les fonds volés restants.
L'incident met en évidence les vulnérabilités des plates-formes DeFi et la nécessité de mesures de sécurité plus strictes pour empêcher des attaques similaires à l'avenir.
Le protocole de finance décentralisée (DeFi) UwU Lend est devenu la dernière victime d'un piratage majeur de crypto-monnaie, les attaquants ayant siphonné près de 20 millions de dollars d'actifs numériques le lundi 10 juin.
Le piratage @UwU_Lend d'aujourd'hui entraîne une perte de 19,4 millions de dollars.
La cause première est un problème d’oracle de prix. En particulier, l’actif sUSDe est évalué comme médian à partir de plusieurs sources. Cinq d'entre eux, à savoir FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD et GHUSDe, ont été manipulés lors du piratage.
Le volé… https://t.co/4ec92zxoql pic.twitter.com/xuGGegfDpV
– PeckShield Inc. (@peckshield) 10 juin 2024
L'exploit en cours a été découvert pour la première fois par la société de sécurité en chaîne Cyvers, qui a rapidement alerté UwU Lend de l'attaque.
Dans un article sur la plateforme de médias sociaux X (anciennement Twitter), Cyvers a écrit : « Hé @UwU_Lend, vous êtes attaqué ! Jusqu’à présent, l’adresse a atteint environ 14 millions de dollars… » Au fur et à mesure que l’attaque se déroulait, le montant total volé a rapidement dépassé la barre des 20 millions de dollars, ce qui en fait l’un des piratages cryptographiques les plus importants de l’année.
????ALERTE ????Hé @UwU_Lend, vous êtes attaqué !
Jusqu'à présent, l'adresse a rapporté environ 14 millions de dollars
D'autres mises à jour suivront !
Veuillez nous contacter pour savoir comment sécuriser vos actifs numériques #CyversAlertpic.twitter.com/IND77hbTbH
— ???? Alertes Cyvers ???? (@CyversAlerts) 10 juin 2024
UwU Lend, un protocole qui permet aux utilisateurs de déposer et d'emprunter de la cryptomonnaie, a été fondé en septembre 2022 par Michael Patryn, également connu sous le nom de 0xSifu.
Patryn est une figure controversée dans le domaine de la cryptographie, surtout connue pour avoir co-fondé l'échange QuadrigaCX, aujourd'hui disparu.
Malgré son histoire relativement courte, UwU Lend avait amassé une valeur impressionnante de 91 millions de dollars en valeur totale verrouillée (TVL) avant l'exploit.
Les enquêtes menées par les sociétés de sécurité blockchain Cyvers et Beosin ont révélé que l'attaquant avait utilisé une stratégie sophistiquée pour commettre le vol.
En utilisant un prêt flash, le pirate informatique a pu manipuler le flux de prix du stablecoin du protocole, USDe, et de sa version synthétique, sUSDe.
Cette manipulation a permis à l’attaquant d’exploiter une vulnérabilité critique du système d’oracle des prix d’UwU Lend, lui permettant ainsi de drainer les fonds du protocole.
Selon Matthew Jiang, directeur des services de sécurité chez Blocksec, la cause première de l'exploit était une blockchain Oracle mal conçue.
Les oracles sont des composants essentiels des plates-formes DeFi, chargés de fournir des données de prix précises au protocole. Lorsque ces systèmes ne sont pas correctement sécurisés ou conçus, ils deviennent des cibles privilégiées pour les attaquants cherchant à exploiter leurs faiblesses et à voler des fonds.
À la suite de l'attaque, Michael Patryn, cofondateur d'UwU Lend, a adopté une approche non conventionnelle pour récupérer les fonds volés. Patryn, qui a un passé mouvementé dans l'industrie de la cryptographie, a envoyé un message blockchain au pirate informatique, offrant une prime de 20 % (environ 4 millions de dollars) en échange de la restitution des 80 % restants des actifs volés.
Le message incluait également une menace de poursuivre le pirate informatique « sous tous les angles » s'il ne se conformait pas à l'offre avant le 12 juin à 17h00 UTC.
Bien que de telles offres de primes ne soient pas rares dans le monde de la cryptographie, elles sont rarement acceptées par les pirates. Cependant, il y a eu des cas où des attaquants ont restitué une partie des fonds volés en réponse à des propositions similaires.
Le message Vous êtes attaqué ! UwU Lend perd 20 millions de dollars lors d'une attaque de prêt flash apparaît en premier sur Blockonomi.