水曜日、UwU Lendの利用者は、貸付プロトコルが最近の2,300万ドルの不正利用の被害者に全額返済できたと発表したことに歓喜した。
しかし、ロンドン時間午前7時46分、同じハッカーが再び戻ってきてさらに370万ドルを奪ったため、彼らの祝賀は短く終わった。
🚨SlowMist セキュリティアラート🚨
@UwU_Lend がさらに 372 万ドルの損失を被ったことを検出しました。https://t.co/ttLSq0m18u
いつものように、油断しないでください! pic.twitter.com/6tz2e5NDwx
— スローミスト (@SlowMist_Team) 2024年6月13日
これは、UwU Lendが、最初のハッキングで利用者の資金を返還する代わりに、ハッカーに20%の報奨金(400万ドル相当)を提示していたにもかかわらず起こったことだ。
2度目のハッキングは、UwU Lendが6月12日のX投稿で、ハッカーが以前悪用したsUSDe市場の脆弱性を特定し修正したと発表した後に起きた。
「他のすべての市場は業界の専門家と監査人によって再検査されたが、問題や懸念は発見されなかった」と議定書は述べている。
UwU Lendはコメントの要請に応じなかった。
UwU Lendは、2,300万ドルの不正アクセスにより一時的にオフラインになった後、水曜日からユーザーへの返済を開始した。
同プロトコルは、木曜日午前5時の時点で、最初のハッキングで盗まれた約970万ドルを返済したと発表した。
「このプロトコルにより、不良債権はすべて、合理的に可能な限り迅速に返済される」とUwU Lendは述べた。「このプロセスにより、ユーザーの資金が失われることはなかったことをお知らせします。」
UwU Lendの物議を醸している創設者マイケル・パトリン(通称0xSifu)は以前、ハッカーが盗んだ仮想通貨の80%、約1800万ドル相当を返還すれば告訴を取り下げると申し出ていた。
オラクル攻撃
月曜日、ハッカーは40億ドルのフラッシュローンを利用してUwU Lendの特定のトークンの価格を操作し、プロトコルを枯渇させた。
フラッシュローンは、ユーザーが貸付プロトコルから資金を借りて、同じ取引で返済するタイプの DeFi 取引です。
フラッシュローンは、DeFi 市場で価格差を迅速に裁定するためにマーケットメーカーによってよく使用されますが、実行するために多額の資本を必要とする悪用も可能になります。
暗号資産セキュリティ企業クォントスタンプ在籍時にフラッシュローンベースのエクスプロイトを検出するツールを共同開発したサーキット創設者マーティン・デルカ氏は、そのようなエクスプロイトはDeFiでは悪名高いと語った。
「こうした種類の脆弱性は、通常、スマートコントラクトの監査中に発見するのが非常に難しい。なぜなら、監査対象のプロトコルとオラクルとして使用されているプロトコルなど、複数のプロトコルに関する詳細な知識が必要になるからだ」と、同氏はDLニュースに語った。
「また、このような脆弱性を発見できる自動化ツールも十分ではありません。」
2022年に開始されたUwU Lendは、124億ドルの預金を持つ最大のDeFiレンディングプロトコルであるAaveのフォークです。
フォークとは、開発チームが既存の DeFi プロトコルのオープンソース コードを使用して、異なるブロックチェーン上で、または若干の変更を加えて、同様のプロトコルを起動することです。
しかし、Aave のコードが変更されたため、ハッカーは UwU Lend を流出させることができました。このプロトコルは、簡単に操作できるオラクル (さまざまなトークンの価格を提供するソフトウェア) を使用していました。
UwU LendのUWUトークンは過去1週間で15%下落し、約2.70ドルで取引されている。
Aleks Gilbert は DL News の DeFi 特派員です。ヒントはありますか? aleks@dlnews.com までメールしてください。