Os usuários do UwU Lend se alegraram na quarta-feira depois que o protocolo de empréstimo disse que era capaz de reembolsar totalmente as vítimas de sua recente exploração de US$ 23 milhões.
Mas as comemorações foram interrompidas quando, às 7h46, horário de Londres, o mesmo hacker voltou para levar outros US$ 3,7 milhões.
🚨Alerta de segurança SlowMist🚨
Detectamos que @UwU_Lend sofreu outra perda de US$ 3,72 milhões.https://t.co/ttLSq0m18u
Como sempre, fique atento! pic.twitter.com/6tz2e5NDwx
– SlowMist (@SlowMist_Team) 13 de junho de 2024
Isso apesar do UwU Lend oferecer ao hacker uma recompensa de 20% – no valor de US$ 4 milhões – para devolver os fundos dos usuários do primeiro hack.
O segundo hack ocorre depois que a UwU Lend disse em uma postagem X de 12 de junho que havia identificado e corrigido a vulnerabilidade em seu mercado sUSDe que o hacker explorou anteriormente.
“Todos os outros mercados foram reavaliados por profissionais da indústria e auditores sem problemas ou preocupações encontradas”, afirma o protocolo.
UwU Lend não retornou um pedido de comentário.
O UwU Lend começou a reembolsar os usuários na quarta-feira, depois que a exploração de US$ 23 milhões o forçou temporariamente off-line.
Às 5h de quinta-feira, o protocolo dizia ter reembolsado cerca de US$ 9,7 milhões roubados no primeiro hack.
“O protocolo reembolsará todas as dívidas inadimplentes, o mais rápido possível”, disse UwU Lend. “Temos o prazer de anunciar que nenhum fundo de usuário foi perdido devido a este processo.”
O polêmico fundador da UwU Lend, Michael Patryn, mais conhecido por seu pseudônimo 0xSifu, já havia se oferecido para retirar quaisquer acusações se o hacker devolvesse 80% da criptografia roubada, no valor de cerca de US$ 18 milhões.
Ataque oráculo
Na segunda-feira, um hacker usou um empréstimo rápido de US$ 4 bilhões para manipular o preço de certos tokens no UwU Lend, o que lhes permitiu drenar o protocolo.
Um empréstimo rápido é um tipo de transação DeFi em que um usuário toma emprestado fundos de um protocolo de empréstimo e os reembolsa na mesma transação.
Embora os empréstimos instantâneos sejam frequentemente usados pelos criadores de mercado para arbitrar rapidamente as diferenças de preços nos mercados DeFi, eles também possibilitam explorações que exigem grandes quantidades de capital para serem executadas.
O fundador do circuito, Martin Derka – que co-desenvolveu uma ferramenta para detectar explorações baseadas em empréstimos instantâneos enquanto trabalhava na empresa de segurança criptográfica Quantstamp – disse que tais explorações eram notórias no DeFi.
“Esses tipos de vulnerabilidades são geralmente muito difíceis de descobrir durante auditorias de contratos inteligentes, porque exigem conhecimento profundo de vários protocolos – aqueles que estão sendo auditados e aqueles que estão sendo usados como oráculos”, disse ele ao DL News.
“Também não existem ferramentas automatizadas suficientes que sejam capazes de descobrir tais vulnerabilidades.”
Lançado em 2022, o UwU Lend é um fork do Aave, o maior protocolo de empréstimo DeFi com US$ 12,4 bilhões em depósitos.
Um fork é onde uma equipe de desenvolvedores usa o código-fonte aberto de um protocolo DeFi existente para lançar um protocolo semelhante – geralmente em um blockchain diferente ou com pequenas alterações.
Mas as mudanças no código do Aave permitiram que o hacker drenasse o UwU Lend. O protocolo usava oráculos facilmente manipulados – software que fornece os preços de vários tokens.
O token UWU da UwU Lend caiu 15% na semana passada e é negociado a cerca de US$ 2,70.
Aleks Gilbert é correspondente de DeFi na DL News. Tem uma dica? Envie um email para ele em aleks@dlnews.com.