Un hacker ha utilizzato un massiccio "prestito flash" per drenare 20 milioni di dollari da UwU Lend, il protocollo di prestito di criptovalute fondato da Michael Patryn, un imprenditore di Internet che gestiva QuadrigaCX, uno scambio di criptovalute canadese fallito nel 2018 a causa di una frode.
Presso UwU, Patryn, meglio conosciuto con il suo pseudonimo 0xSifu, ha offerto all'hacker un accordo: restituisci circa 16 milioni di dollari in criptovalute e rinunceremo a qualsiasi potenziale accusa.
"Stiamo offrendo una ricompensa white hat del 20% su tutti i fondi prelevati", ha scritto Patryn in un messaggio inviato su Ethereum. "Non dovrai affrontare il rischio che perseguiamo ulteriormente la questione e nessun rischio di problemi con le forze dell'ordine."
Lo stratagemma è una procedura operativa standard nel settore delle criptovalute, dove identificare gli hacker e recuperare i token rubati è un compito che richiede molto tempo. Ma viene spesso ignorato dagli hacker, con poche eccezioni degne di nota.
Lanciato nel 2022, UwU Lend è un clone del protocollo di prestito Aave, che a partire da lunedì era il secondo protocollo più grande nella finanza decentralizzata con oltre 20 miliardi di dollari di depositi degli utenti.
Ma un cambiamento chiave ha permesso all'hacker di svuotare il protocollo in una serie di transazioni lunedì scorso, secondo la società di sicurezza crittografica Blocksec: l'uso di "oracoli" di prezzo facilmente manipolabili che forniscono a UwU il prezzo di vari token.
Insieme a un prestito lampo multimiliardario – forse fino a 4 miliardi di dollari, secondo Matthew Jiang, direttore dei servizi di sicurezza di Blocksec – l’hacker è riuscito a sottrarre circa 20 milioni di dollari dall’UwU.
“L’aggressore ha prestato un’enorme quantità di risorse”, ha detto Jiang a DL News. "Ha quasi preso in prestito tutte le risorse della catena che possono essere prestate in flash."
Su X, gli sviluppatori di UwU hanno affermato di aver messo in pausa il protocollo mentre indagavano sull'hacking. Lunedì UwU non ha risposto immediatamente alla richiesta di commento di DL News.
Prestiti lampo
I prestiti flash consentono prestiti senza garanzie che devono essere rimborsati all’interno della stessa transazione sulla blockchain. I trader sfruttano questi prestiti per il trading di arbitraggio.
Ma gli autori malintenzionati possono anche utilizzare prestiti flash per sottrarre liquidità ai protocolli DeFi. I prestiti forniscono il capitale necessario per sfruttare le vulnerabilità all’interno del codice di un protocollo.
L'anno scorso, il protocollo di prestito Ethereum Euler Finance ha inizialmente perso 197 milioni di dollari in un attacco con prestito flash, anche se in seguito l'hacker ha restituito l'85% della criptovaluta rubata.
Altri recenti exploit legati ai prestiti flash includono l’hacking da 20 milioni di dollari di Sonne Finance del mese scorso e l’hacking da 44 milioni di dollari di Hedgey ad aprile.
Nei primi cinque mesi dell’anno, gli hacker hanno rubato circa 560 milioni di dollari dai protocolli DeFi, un aumento del 32% rispetto allo stesso periodo dell’anno precedente, secondo i dati di DefiLlama.
Patryn è stato un co-fondatore di QuadrigaCX, che è crollato a causa della frode commessa dal co-fondatore Gary Cotten, secondo l'Ontario Securities Exchange.
Lo scambio è crollato due anni dopo che Patryn lo aveva lasciato. Patryn in seguito divenne, sotto il suo pseudonimo 0xSifu, il responsabile della tesoreria di Wonderland, un popolare protocollo DeFi. Il token di quel protocollo si è bloccato nel gennaio 2022 dopo che l’identità di Patryn è stata rivelata.
Aleks Gilbert è un corrispondente DeFi presso DL News. Hai un consiglio? Inviagli un'e-mail a aleks@dlnews.com.