TLDR
W poniedziałek 10 czerwca zhakowano protokół UwU Lend, protokół zdecentralizowanych finansów (DeFi), na prawie 20 milionów dolarów.
Atak został po raz pierwszy odkryty przez firmę Cyvers zajmującą się bezpieczeństwem w łańcuchu, która powiadomiła UwU Lend o trwającym exploitie.
Osoba atakująca wykorzystała pożyczkę flash do manipulowania kanałem cenowym i wykorzystania luki w systemie Price Oracle protokołu.
Współzałożyciel UwU Lend, Michael Patryn, znany również jako 0xSifu, zaoferował hakerowi 20% nagrodę (około 4 miliony dolarów) za zwrot pozostałych skradzionych środków.
Incydent uwydatnia luki w zabezpieczeniach platform DeFi i potrzebę wprowadzenia silniejszych środków bezpieczeństwa, aby zapobiec podobnym atakom w przyszłości.
Protokół zdecentralizowanych finansów (DeFi) UwU Lend stał się najnowszą ofiarą poważnego hackowania kryptowalut, podczas którego w poniedziałek 10 czerwca napastnicy wyssali aktywa cyfrowe o wartości prawie 20 milionów dolarów.
Dzisiejszy hack @UwU_Lend prowadzi do straty w wysokości 19,4 miliona dolarów.
Główną przyczyną jest problem z wyrocznią cenową. W szczególności aktywa sUSDe wycenia się jako medianę z wielu źródeł. Podczas włamania zmanipulowano pięć z nich, tj. FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD i GHOUSDe.
Skradziony… https://t.co/4ec92zxoql pic.twitter.com/xuGGegfDpV
— PeckShield Inc. (@peckshield) 10 czerwca 2024 r
Trwający exploit został po raz pierwszy odkryty przez firmę Cyvers zajmującą się bezpieczeństwem w łańcuchu, która natychmiast powiadomiła UwU Lend o ataku.
W poście na platformie mediów społecznościowych X (dawniej Twitter) Cyvers napisała: „Hej @UwU_Lend, zostałeś zaatakowany! Jak dotąd adres zdobył około 14 milionów dolarów…” W miarę rozwoju ataku łączna skradziona kwota szybko przekroczyła 20 milionów dolarów, co czyni go jednym z najważniejszych hacków kryptograficznych roku.
????ALERT????Hej @UwU_Lend, zostałeś zaatakowany!
Jak dotąd adres zarobił około 14 milionów dolarów
Więcej aktualizacji nastąpi!
Skontaktuj się z nami, aby dowiedzieć się, jak zabezpieczyć swoje zasoby cyfrowe#CyversAlertpic.twitter.com/IND77hbTbH
— ???? Alerty Cyversa ???? (@CyversAlerts) 10 czerwca 2024 r
UwU Lend, protokół umożliwiający użytkownikom wpłacanie i pożyczanie kryptowaluty, został założony we wrześniu 2022 roku przez Michaela Patryna, znanego również jako 0xSifu.
Patryn to kontrowersyjna postać w przestrzeni kryptowalut, najbardziej znana ze współzałożyciela nieistniejącej już giełdy QuadrigaCX.
Pomimo swojej stosunkowo krótkiej historii, przed exploitem UwU Lend zgromadził imponujące 91 milionów dolarów w postaci Total Value Locked (TVL).
Dochodzenia prowadzone przez firmy Cyvers i Beosin zajmujące się bezpieczeństwem blockchain wykazały, że atakujący zastosował wyrafinowaną strategię, aby przeprowadzić kradzież.
Korzystając z pożyczki flash, haker był w stanie manipulować cenami stabilnej monety protokołu, USDe, i jej syntetycznej wersji, sUSDe.
Manipulacja ta umożliwiła atakującemu wykorzystanie krytycznej luki w systemie wyroczni cenowej UwU Lend, co umożliwiło mu wyssanie środków protokołu.
Według Matthew Jianga, dyrektora usług bezpieczeństwa w Blocksec, główną przyczyną exploita był nieprawidłowo zaprojektowany blockchain Oracle.
Oracle są istotnymi komponentami platform DeFi, odpowiedzialnymi za dostarczanie dokładnych danych cenowych do protokołu. Kiedy systemy te nie są odpowiednio zabezpieczone lub zaprojektowane, stają się głównymi celami dla atakujących, którzy chcą wykorzystać słabe punkty i ukraść fundusze.
Po ataku współzałożyciel UwU Lend, Michael Patryn, przyjął niekonwencjonalne podejście do odzyskania skradzionych środków. Patryn, który ma burzliwą przeszłość w branży kryptograficznej, wysłał hakerowi wiadomość typu blockchain, oferując 20% nagrody (około 4 miliony dolarów) w zamian za zwrot pozostałych 80% skradzionych aktywów.
W wiadomości znalazła się także groźba ścigania hakera „ze wszystkich stron”, jeśli ten nie zastosuje się do oferty do 12 czerwca do godziny 17:00 UTC.
Chociaż takie oferty nagród nie są rzadkością w świecie kryptowalut, rzadko są akceptowane przez hakerów. Zdarzały się jednak przypadki, gdy w odpowiedzi na podobne propozycje napastnicy zwrócili część skradzionych środków.
Post Jesteś atakowany! UwU Lend traci 20 milionów dolarów w wyniku ataku na pożyczkę Flash pojawił się jako pierwszy na Blockonomi.