Les utilisateurs d'UwU Lend se sont réjouis mercredi après que le protocole de prêt ait déclaré qu'il était en mesure de rembourser intégralement les victimes de son récent exploit de 23 millions de dollars.
Mais leurs célébrations ont été interrompues lorsqu'à 7 h 46, heure de Londres, le même pirate informatique est revenu pour prendre 3,7 millions de dollars supplémentaires.
🚨Alerte de sécurité SlowMist🚨
Nous avons détecté que @UwU_Lend a subi une autre perte de 3,72 millions de dollars.https://t.co/ttLSq0m18u
Comme toujours, restez vigilant ! pic.twitter.com/6tz2e5NDwx
– SlowMist (@SlowMist_Team) 13 juin 2024
Et ce malgré le fait qu’UwU Lend ait offert au pirate informatique une prime de 20 % – d’une valeur de 4 millions de dollars – pour restituer les fonds des utilisateurs lors du premier piratage.
Le deuxième piratage intervient après qu'UwU Lend a déclaré dans un article du 12 juin qu'il avait identifié et corrigé la vulnérabilité de son marché sUSDe que le pirate avait précédemment exploitée.
"Tous les autres marchés ont été réexaminés par des professionnels du secteur et des auditeurs sans qu'aucun problème ou préoccupation n'ait été détecté", indique le protocole.
UwU Lend n’a pas renvoyé de demande de commentaire.
UwU Lend a commencé à rembourser ses utilisateurs mercredi après que l'exploit de 23 millions de dollars l'ait temporairement mis hors ligne.
Jeudi à 5 heures du matin, le protocole a déclaré avoir remboursé environ 9,7 millions de dollars volés lors du premier piratage.
"Le protocole remboursera toutes les créances irrécouvrables, aussi rapidement que raisonnablement possible", a déclaré UwU Lend. "Nous sommes heureux d'annoncer qu'aucun fonds utilisateur n'a été perdu à cause de ce processus."
Le fondateur controversé d'UwU Lend, Michael Patryn, mieux connu sous son pseudonyme 0xSifu, avait déjà proposé d'abandonner toute charge si le pirate informatique restituait 80 % de la crypto volée, d'une valeur d'environ 18 millions de dollars.
Attaque d'Oracle
Lundi, un pirate informatique a utilisé un prêt flash de 4 milliards de dollars pour manipuler le prix de certains jetons sur UwU Lend, ce qui leur a permis de vider le protocole.
Un prêt flash est un type de transaction DeFi dans lequel un utilisateur emprunte des fonds à un protocole de prêt et les rembourse dans la même transaction.
Bien que les prêts flash soient souvent utilisés par les teneurs de marché pour arbitrer rapidement les différences de prix sur les marchés DeFi, ils permettent également des exploits qui nécessitent de gros capitaux pour être réalisés.
Le fondateur du circuit, Martin Derka – qui a co-développé un outil pour détecter les exploits basés sur les prêts flash alors qu'il travaillait pour la société de sécurité cryptographique Quantstamp – a déclaré que de tels exploits étaient notoires dans DeFi.
"Ce type de vulnérabilités est généralement très difficile à découvrir lors des audits de contrats intelligents, car ils nécessitent une connaissance approfondie de plusieurs protocoles - ceux que l'on audite et ceux qui sont utilisés comme oracles", a-t-il déclaré à DL News.
« Il n’existe pas non plus suffisamment d’outils automatisés capables de découvrir de telles vulnérabilités. »
Lancé en 2022, UwU Lend est un fork d'Aave, le plus grand protocole de prêt DeFi avec 12,4 milliards de dollars de dépôts.
Un fork est l'endroit où une équipe de développeurs utilise le code open source d'un protocole DeFi existant pour lancer un protocole similaire – souvent sur une blockchain différente ou avec des modifications mineures.
Mais les modifications apportées au code d’Aave ont permis au pirate informatique de drainer UwU Lend. Le protocole utilisait des oracles facilement manipulables – un logiciel qui lui fournissait les prix de divers jetons.
Le jeton UWU d'UwU Lend est en baisse de 15 % au cours de la semaine dernière et se négocie à environ 2,70 $.
Aleks Gilbert est correspondant DeFi chez DL News. Vous avez un conseil ? Envoyez-lui un e-mail à aleks@dlnews.com.