Gli utenti di UwU Lend si sono rallegrati mercoledì dopo che il protocollo di prestito ha dichiarato di essere in grado di rimborsare completamente le vittime del suo recente exploit da 23 milioni di dollari.
Ma i festeggiamenti furono interrotti quando alle 7:46, ora di Londra, lo stesso hacker tornò per prendere altri 3,7 milioni di dollari.
🚨Avviso di sicurezza SlowMist🚨
Abbiamo rilevato che @UwU_Lend ha subito un'altra perdita di $ 3,72 milioni.https://t.co/ttLSq0m18u
Come sempre, restate vigili! pic.twitter.com/6tz2e5NDwx
– SlowMist (@SlowMist_Team) 13 giugno 2024
Questo nonostante UwU Lend abbia offerto all’hacker una ricompensa del 20% – del valore di 4 milioni di dollari – per restituire i fondi degli utenti dal primo hack.
Il secondo hack arriva dopo che UwU Lend ha dichiarato in un post del 12 giugno X di aver identificato e risolto la vulnerabilità nel suo mercato sUSDe che l'hacker aveva precedentemente sfruttato.
"Tutti gli altri mercati sono stati riesaminati da professionisti del settore e revisori dei conti senza che siano stati riscontrati problemi o preoccupazioni", afferma il protocollo.
UwU Lend non ha restituito una richiesta di commento.
UwU Lend ha iniziato a ripagare gli utenti mercoledì dopo che l'exploit da 23 milioni di dollari lo ha costretto temporaneamente offline.
Alle 5 del mattino di giovedì, il protocollo ha dichiarato di aver rimborsato circa 9,7 milioni di dollari rubati nel primo hack.
“Il protocollo ripagherà tutti i debiti inesigibili, il più rapidamente ragionevolmente possibile”, ha affermato UwU Lend. "Siamo lieti di annunciare che nessun fondo degli utenti è andato perso a causa di questo processo."
Il controverso fondatore di UwU Lend, Michael Patryn, meglio conosciuto con il suo pseudonimo 0xSifu, si era precedentemente offerto di ritirare qualsiasi accusa se l'hacker avesse restituito l'80% della criptovaluta rubata, per un valore di circa 18 milioni di dollari.
Attacco dell'Oracolo
Lunedì, un hacker ha utilizzato un prestito lampo di 4 miliardi di dollari per manipolare il prezzo di alcuni token su UwU Lend, consentendo loro di prosciugare il protocollo.
Un prestito flash è un tipo di transazione DeFi in cui un utente prende in prestito fondi da un protocollo di prestito e li ripaga nella stessa transazione.
Sebbene i prestiti flash siano spesso utilizzati dai market maker per arbitrare rapidamente le differenze di prezzo nei mercati DeFi, essi rendono anche possibili exploit che richiedono grandi quantità di capitale per essere eseguiti.
Il fondatore di Circuit Martin Derka, che ha co-sviluppato uno strumento per rilevare exploit basati su prestiti flash mentre lavorava presso la società di sicurezza crittografica Quantstamp, ha affermato che tali exploit sono noti nella DeFi.
"Questo tipo di vulnerabilità è solitamente molto difficile da scoprire durante gli audit degli smart contract, perché richiedono una conoscenza approfondita di più protocolli: quelli che si stanno controllando e quelli che vengono utilizzati come oracoli", ha detto a DL News.
“Inoltre, non esistono abbastanza strumenti automatizzati in grado di scoprire tali vulnerabilità”.
Lanciato nel 2022, UwU Lend è un fork di Aave, il più grande protocollo di prestito DeFi con 12,4 miliardi di dollari di depositi.
Un fork è il luogo in cui un team di sviluppatori utilizza il codice open source di un protocollo DeFi esistente per lanciare un protocollo simile, spesso su una blockchain diversa o con modifiche minori.
Ma le modifiche al codice di Aave hanno permesso all’hacker di prosciugare UwU Lend. Il protocollo utilizzava oracoli facilmente manipolabili, un software che gli fornisce i prezzi di vari token.
Il token UWU di UwU Lend è sceso del 15% nell'ultima settimana e viene scambiato a circa $ 2,70.
Aleks Gilbert è un corrispondente DeFi presso DL News. Hai un consiglio? Inviagli un'e-mail a aleks@dlnews.com.