Michael Patryn, alias 0xSifu, menawarkan hadiah 20% untuk menyelesaikan peretasan UwU senilai $20 juta

Seorang peretas menggunakan “pinjaman kilat” besar-besaran untuk mengalirkan $20 juta dari UwU Lend, protokol pinjaman kripto yang didirikan oleh Michael Patryn, seorang pengusaha internet yang mengoperasikan QuadrigaCX, pertukaran kripto Kanada yang runtuh pada tahun 2018 karena penipuan.

Di UwU, Patryn, yang lebih dikenal dengan nama samarannya 0xSifu, telah menawarkan kesepakatan kepada peretas: Kembalikan sekitar $16 juta dalam bentuk kripto dan kami akan membatalkan potensi biaya apa pun.

“Kami menawarkan 20% white hat bounty dari setiap dana yang diambil,” tulis Patryn dalam pesan yang dikirim di Ethereum. “Anda tidak akan menghadapi risiko jika kami melanjutkan hal ini dan tidak ada risiko masalah penegakan hukum.”

Taktik ini adalah prosedur operasi standar dalam kripto, di mana mengidentifikasi peretas dan mengambil token yang dicuri adalah cobaan yang memakan waktu. Namun hal ini sering diabaikan oleh peretas, dengan beberapa pengecualian.

Diluncurkan pada tahun 2022, UwU Lend adalah tiruan dari protokol peminjaman Aave, yang merupakan protokol terbesar kedua dalam keuangan terdesentralisasi pada hari Senin dengan simpanan pengguna lebih dari $20 miliar.

Namun perubahan penting memungkinkan peretas untuk menguras protokol dalam serangkaian transaksi pada Senin pagi, menurut perusahaan keamanan kripto Blocksec: penggunaan “oracle” harga yang mudah dimanipulasi, yang memberi UwU harga berbagai token.

Seiring dengan pinjaman kilat bernilai miliaran dolar – mungkin sebesar $4 miliar, menurut Matthew Jiang, direktur layanan keamanan di Blocksec – peretas mampu menyedot sekitar $20 juta dari UwU.

“Penyerang meminjamkan aset dalam jumlah besar,” kata Jiang kepada DL News. “Dia hampir meminjam semua aset di rantai yang bisa dipinjamkan secara kilat.”

Di X, pengembang UwU mengatakan mereka telah menghentikan sementara protokol saat mereka menyelidiki peretasan tersebut. UwU tidak segera membalas permintaan komentar DL News pada hari Senin.

Pinjaman kilat

Pinjaman kilat memungkinkan pinjaman tanpa agunan yang harus dilunasi dalam transaksi yang sama di blockchain. Pedagang memanfaatkan pinjaman ini untuk perdagangan arbitrase.

Namun pelaku jahat juga dapat menggunakan pinjaman kilat untuk menyedot likuiditas dari protokol DeFi. Pinjaman tersebut memberikan modal yang dibutuhkan untuk memanfaatkan kerentanan dalam kode protokol.

Tahun lalu, protokol pinjaman Ethereum Euler Finance awalnya kehilangan $197 juta dalam serangan pinjaman kilat, meskipun peretas kemudian mengembalikan 85% kripto yang dicuri.

Eksploitasi pinjaman kilat baru-baru ini termasuk peretasan Sonne Finance senilai $20 juta bulan lalu dan peretasan Hedgey senilai $44 juta pada bulan April.

Dalam lima bulan pertama tahun ini, peretas mencuri sekitar $560 juta dari protokol DeFi — meningkat 32% dari periode yang sama tahun sebelumnya, menurut data DefiLlama.

Patryn adalah salah satu pendiri QuadrigaCX, yang bangkrut karena penipuan yang dilakukan oleh salah satu pendiri Gary Cotten, menurut Ontario Securities Exchange.

Pertukaran itu runtuh dua tahun setelah Patryn meninggalkannya. Patryn kemudian menjadi — dengan nama samaran 0xSifu – manajer keuangan untuk Wonderland, sebuah protokol DeFi yang populer. Token protokol tersebut rusak pada Januari 2022 setelah identitas Patryn terungkap.

Aleks Gilbert adalah Koresponden DeFi di DL News. Punya tip? Email dia di aleks@dlnews.com.