TLDR
Lunedì 10 giugno UwU Lend, un protocollo di finanza decentralizzata (DeFi), è stato violato per quasi 20 milioni di dollari.
L'attacco è stato scoperto per la prima volta dalla società di sicurezza on-chain Cyvers, che ha allertato UwU Lend dell'exploit in corso.
L’aggressore ha utilizzato un prestito flash per manipolare il feed dei prezzi e sfruttare una vulnerabilità nel sistema di oracolo dei prezzi del protocollo.
Il co-fondatore di UwU Lend Michael Patryn, noto anche come 0xSifu, ha offerto all'hacker una taglia del 20% (circa 4 milioni di dollari) per restituire i restanti fondi rubati.
L’incidente evidenzia le vulnerabilità all’interno delle piattaforme DeFi e la necessità di misure di sicurezza più forti per prevenire attacchi simili in futuro.
Il protocollo di finanza decentralizzata (DeFi) UwU Lend è diventato l'ultima vittima di un grave attacco informatico alle criptovalute, con gli aggressori che lunedì 10 giugno hanno sottratto risorse digitali per un valore di quasi 20 milioni di dollari.
L'attacco hacker @UwU_Lend di oggi porta a una perdita di 19,4 milioni di dollari.
La causa principale è un problema di oracolo dei prezzi. In particolare, il prezzo dell’asset sUSDe è valutato come mediano da più fonti. Cinque di essi, ovvero FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD e GHOUSDe, sono stati manipolati durante l'hacking.
Il rubato… https://t.co/4ec92zxoql pic.twitter.com/xuGGegfDpV
— PeckShield Inc. (@peckshield) 10 giugno 2024
L'exploit in corso è stato scoperto per la prima volta dalla società di sicurezza on-chain Cyvers, che ha prontamente allertato UwU Lend dell'attacco.
In un post sulla piattaforma di social media X (ex Twitter), Cyvers ha scritto: “Ehi @UwU_Lend, sei stato attaccato! Finora l'indirizzo ha guadagnato circa 14 milioni di dollari..." Mentre l'attacco si svolgeva, l'importo totale rubato ha rapidamente superato la soglia dei 20 milioni di dollari, rendendolo uno degli hack crittografici più significativi dell'anno.
????AVVISO????Ehi @UwU_Lend, ti stanno attaccando!
Finora l'indirizzo ha guadagnato circa $ 14 milioni
Seguiranno ulteriori aggiornamenti!
Contattaci per sapere come proteggere le tue risorse digitali#CyversAlertpic.twitter.com/IND77hbTbH
— ???? Avvisi Cyvers ???? (@CyversAlerts) 10 giugno 2024
UwU Lend, un protocollo che consente agli utenti di depositare e prendere in prestito criptovaluta, è stato fondato nel settembre 2022 da Michael Patryn, noto anche come 0xSifu.
Patryn è una figura controversa nel settore delle criptovalute, nota soprattutto per aver co-fondato l'ormai defunto exchange QuadrigaCX.
Nonostante la sua storia relativamente breve, UwU Lend aveva accumulato l’impressionante cifra di 91 milioni di dollari in Total Value Locked (TVL) prima dell’exploit.
Le indagini delle società di sicurezza blockchain Cyvers e Beosin hanno rivelato che l'aggressore ha utilizzato una strategia sofisticata per portare a termine il furto.
Utilizzando un prestito flash, l'hacker è riuscito a manipolare il feed dei prezzi della stablecoin del protocollo, USDe, e della sua versione sintetica, sUSDe.
Questa manipolazione ha consentito all’aggressore di sfruttare una vulnerabilità critica nel sistema di oracolo dei prezzi di UwU Lend, consentendogli di drenare i fondi del protocollo.
La causa principale dell'exploit, secondo Matthew Jiang, direttore dei servizi di sicurezza di Blocksec, era un Oracle blockchain progettato in modo improprio.
Gli oracoli sono componenti vitali delle piattaforme DeFi, responsabili di fornire dati accurati sui prezzi al protocollo. Quando questi sistemi non sono adeguatamente protetti o progettati, diventano gli obiettivi principali degli aggressori che cercano di sfruttare i punti deboli e rubare fondi.
Sulla scia dell’attacco, il co-fondatore di UwU Lend Michael Patryn ha adottato un approccio non convenzionale per recuperare i fondi rubati. Patryn, che ha un passato movimentato nel settore delle criptovalute, ha inviato un messaggio blockchain all'hacker, offrendo una taglia del 20% (circa 4 milioni di dollari) in cambio della restituzione del restante 80% dei beni rubati.
Il messaggio includeva anche la minaccia di perseguire l'hacker "da ogni angolazione" se non avesse rispettato l'offerta entro il 12 giugno alle 17:00 UTC.
Sebbene tali offerte di ricompensa non siano rare nel mondo delle criptovalute, raramente vengono accettate dagli hacker. Tuttavia, ci sono stati casi in cui gli aggressori hanno restituito una parte dei fondi rubati in risposta a proposte simili.
Il post Ti stanno attaccando! UwU Lend perde $ 20 milioni in un attacco di prestito flash è apparso per la prima volta su Blockonomi.