TLDR
UwU Lend, um protocolo de finanças descentralizadas (DeFi), foi hackeado em quase US$ 20 milhões na segunda-feira, 10 de junho.
O ataque foi descoberto pela primeira vez pela empresa de segurança Cyvers, que alertou a UwU Lend sobre a exploração em andamento.
O invasor usou um empréstimo instantâneo para manipular o feed de preços e explorar uma vulnerabilidade no sistema oráculo de preços do protocolo.
O cofundador da UwU Lend, Michael Patryn, também conhecido como 0xSifu, ofereceu ao hacker uma recompensa de 20% (cerca de US$ 4 milhões) para devolver os fundos roubados restantes.
O incidente destaca as vulnerabilidades nas plataformas DeFi e a necessidade de medidas de segurança mais fortes para evitar ataques semelhantes no futuro.
O protocolo de finanças descentralizadas (DeFi) UwU Lend se tornou a última vítima de um grande hack de criptomoeda, com invasores desviando quase US$ 20 milhões em ativos digitais na segunda-feira, 10 de junho.
O hack @UwU_Lend de hoje leva a uma perda de US$ 19,4 milhões.
A causa raiz é uma questão do oráculo de preços. Em particular, o preço do ativo sUSDe é avaliado como mediana de múltiplas fontes. Cinco deles, ou seja, FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD e GHOUSDe, foram manipulados durante o hack.
O roubado… https://t.co/4ec92zxoql pic.twitter.com/xuGGegfDpV
-PeckShield Inc. (@peckshield) 10 de junho de 2024
A exploração contínua foi descoberta pela primeira vez pela empresa de segurança Cyvers, que alertou prontamente a UwU Lend sobre o ataque.
Em uma postagem na plataforma de mídia social X (antigo Twitter), Cyvers escreveu: “Ei, @UwU_Lend, você está sendo atacado! Até agora, o endereço chegou a cerca de US$ 14 milhões…” À medida que o ataque se desenrolava, o valor total roubado rapidamente ultrapassou a marca de US$ 20 milhões, tornando-o um dos hacks de criptografia mais significativos do ano.
????ALERTA????Ei @UwU_Lend, você está sendo atacado!
Até agora, o endereço arrecadou cerca de US $ 14 milhões
Mais atualizações virão!
Entre em contato conosco para saber como proteger seus ativos digitais#CyversAlertpic.twitter.com/IND77hbTbH
— ???? Alertas Cyvers ???? (@CyversAlerts) 10 de junho de 2024
UwU Lend, um protocolo que permite aos usuários depositar e emprestar criptomoedas, foi fundado em setembro de 2022 por Michael Patryn, também conhecido como 0xSifu.
Patryn é uma figura controversa no espaço criptográfico, mais conhecido por ser cofundador da extinta bolsa QuadrigaCX.
Apesar de sua história relativamente curta, a UwU Lend acumulou impressionantes US$ 91 milhões em Total Value Locked (TVL) antes da exploração.
As investigações das empresas de segurança blockchain Cyvers e Beosin revelaram que o invasor empregou uma estratégia sofisticada para realizar o roubo.
Ao utilizar um empréstimo instantâneo, o hacker conseguiu manipular o feed de preços da stablecoin do protocolo, USDe, e sua versão sintética, sUSDe.
Essa manipulação permitiu ao invasor explorar uma vulnerabilidade crítica no sistema oráculo de preços do UwU Lend, permitindo-lhes drenar os fundos do protocolo.
A causa raiz da exploração, de acordo com Matthew Jiang, diretor de serviços de segurança da Blocksec, foi um blockchain Oracle projetado incorretamente.
Oráculos são componentes vitais das plataformas DeFi, responsáveis por fornecer dados precisos de preços ao protocolo. Quando estes sistemas não são adequadamente protegidos ou concebidos, tornam-se alvos principais para os atacantes que procuram explorar pontos fracos e roubar fundos.
Após o ataque, o cofundador da UwU Lend, Michael Patryn, adotou uma abordagem não convencional para recuperar os fundos roubados. Patryn, que tem um passado conturbado na indústria de criptografia, enviou uma mensagem blockchain ao hacker, oferecendo uma recompensa de 20% (aproximadamente US$ 4 milhões) em troca da devolução dos 80% restantes dos ativos roubados.
A mensagem também incluía uma ameaça de perseguir o hacker “de todos os ângulos” caso ele não cumprisse a oferta até 12 de junho às 17h UTC.
Embora essas ofertas de recompensas não sejam incomuns no mundo criptográfico, elas raramente são aceitas por hackers. No entanto, houve casos em que os atacantes devolveram uma parte dos fundos roubados em resposta a propostas semelhantes.
O post Você está sendo atacado! UwU Lend perde US$ 20 milhões em ataque de empréstimo instantâneo apareceu pela primeira vez no Blockonomi.