TLDR
Pirmdien, 10. jūnijā, UwU Lend, decentralizēto finanšu (DeFi) protokols, tika uzlauzts par gandrīz 20 miljoniem ASV dolāru.
Uzbrukumu vispirms atklāja ķēdē esošais drošības uzņēmums Cyvers, kas brīdināja UwU Lend par notiekošo izmantošanu.
Uzbrucējs izmantoja zibatmiņas aizdevumu, lai manipulētu ar cenu plūsmu un izmantotu protokola cenu orākula sistēmas ievainojamību.
UwU Lend līdzdibinātājs Maikls Patrins, pazīstams arī kā 0xSifu, piedāvāja hakeram 20% atlīdzību (apmēram 4 miljonus ASV dolāru), lai atgrieztu atlikušos nozagtos līdzekļus.
Incidents izceļ DeFi platformu ievainojamības un nepieciešamību pēc stingrākiem drošības pasākumiem, lai novērstu līdzīgus uzbrukumus nākotnē.
Decentralizētās finanšu (DeFi) protokols UwU Lend ir kļuvis par jaunāko upuri lielam kriptovalūtas uzlaušanai, uzbrucējiem pirmdien, 10. jūnijā, izsūknējot digitālos aktīvus gandrīz 20 miljonu ASV dolāru vērtībā.
Šodienas @UwU_Lend uzlaušanas rezultātā tiek zaudēti 19,4 miljoni USD.
Galvenais iemesls ir cenu orākula problēma. Jo īpaši sUSDe aktīva cena ir noteikta kā vidējā no vairākiem avotiem. Uzlaušanas laikā tika manipulēti ar pieciem no tiem, t.i., FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD un GHOUSDe.
Nozagtais… https://t.co/4ec92zxoql pic.twitter.com/xuGGegfDpV
— PeckShield Inc. (@peckshield) 2024. gada 10. jūnijs
Notiekošo izmantošanu vispirms atklāja ķēdē esošais drošības uzņēmums Cyvers, kas nekavējoties brīdināja UwU Lend par uzbrukumu.
Ziņojumā sociālo mediju platformā X (agrāk Twitter) Saivers rakstīja: “Hei, @UwU_Lend, tev uzbrūk! Līdz šim adrese sasniedza aptuveni 14 miljonus ASV dolāru…” Uzbrukumam attīstoties, kopējā nozagtā summa ātri vien pārsniedza 20 miljonu dolāru atzīmi, padarot to par vienu no gada nozīmīgākajiem kriptovalūtu uzlaušanas gadījumiem.
????BRĪDINĀJUMS????Hei @UwU_Lend, jums uzbrūk!
Līdz šim adrese ir bijusi aptuveni 14 miljoni USD
Vairāk atjauninājumu sekos!
Lūdzu, sazinieties ar mums, lai uzzinātu, kā aizsargāt savus digitālos īpašumus#CyversAlertpic.twitter.com/IND77hbTbH
— ???? Cyvers brīdinājumi???? (@CyversAlerts) 2024. gada 10. jūnijs
Protokolu UwU Lend, kas ļauj lietotājiem noguldīt un aizņemties kriptovalūtu, 2022. gada septembrī nodibināja Maikls Patrins, pazīstams arī kā 0xSifu.
Patryn ir pretrunīgi vērtēta personība kriptovalūtu jomā, kas vislabāk pazīstama ar nu jau vairs neesošās QuadrigaCX biržas līdzdibinātāju.
Neskatoties uz savu salīdzinoši īso vēsturi, UwU Lend pirms ekspluatācijas bija uzkrājis iespaidīgu 91 miljonu ASV dolāru kopējā bloķētajā vērtībā (TVL).
Blokķēdes drošības firmu Cyvers un Beosin veiktās izmeklēšanas atklāja, ka uzbrucējs zādzības veikšanai izmantoja izsmalcinātu stratēģiju.
Izmantojot zibatmiņas aizdevumu, hakeris varēja manipulēt ar protokola stabilās monētas USDe un tās sintētiskās versijas sUSDe cenu plūsmu.
Šī manipulācija ļāva uzbrucējam izmantot UwU Lend Price Oracle sistēmas kritisko ievainojamību, ļaujot viņam iztukšot protokola līdzekļus.
Pēc Blocksec drošības dienestu direktora Metjū Dzjana teiktā, ekspluatācijas galvenais iemesls bija nepareizi izstrādāta Oracle blokķēde.
Oracles ir svarīgas DeFi platformu sastāvdaļas, kas ir atbildīgas par precīzu cenu datu nodrošināšanu protokolā. Ja šīs sistēmas nav pietiekami aizsargātas vai izstrādātas, tās kļūst par galveno mērķi uzbrucējiem, kuri vēlas izmantot vājās vietas un nozagt līdzekļus.
Pēc uzbrukuma UwU Lend līdzdibinātājs Maikls Patrins izmantoja netradicionālu pieeju, lai atgūtu nozagtos līdzekļus. Patryn, kuram ir rūta pagātne kriptovalūtu nozarē, nosūtīja hakeram blokķēdes ziņojumu, piedāvājot 20% atlīdzību (apmēram 4 miljonus USD) apmaiņā pret atlikušo 80% nozagto aktīvu atdošanu.
Ziņojumā bija ietverti arī draudi vajāt hakeru “no visiem leņķiem”, ja viņš neizpildīs piedāvājumu līdz 12.jūnija plkst.17:00 UTC.
Lai gan šādi dārgumu piedāvājumi kriptovalūtu pasaulē nav nekas neparasts, hakeri tos pieņem reti. Tomēr ir bijuši gadījumi, kad uzbrucēji ir atdevuši daļu no nozagtajiem līdzekļiem, reaģējot uz līdzīgiem priekšlikumiem.
Ziņojums Jums tiek uzbrukts! UwU Lend zaudē 20 miljonus ASV dolāru ātrā kredīta uzbrukumā, kas pirmo reizi parādījās vietnē Blockonomi.