TLDR
UwU Lend, un protocol de finanțare descentralizată (DeFi), a fost piratat pentru aproape 20 de milioane de dolari luni, 10 iunie.
Atacul a fost descoperit pentru prima dată de firma de securitate în lanț Cyvers, care a alertat UwU Lend despre exploatarea în curs.
Atacatorul a folosit un împrumut rapid pentru a manipula fluxul de prețuri și pentru a exploata o vulnerabilitate în sistemul oracol al prețurilor al protocolului.
Cofondatorul UwU Lend, Michael Patryn, cunoscut și sub numele de 0xSifu, i-a oferit hackerului o recompensă de 20% (aproximativ 4 milioane de dolari) pentru a returna fondurile furate rămase.
Incidentul evidențiază vulnerabilitățile din platformele DeFi și necesitatea unor măsuri de securitate mai puternice pentru a preveni atacuri similare în viitor.
Protocolul de finanțare descentralizată (DeFi) UwU Lend a devenit cea mai recentă victimă a unui hack major de criptomonede, atacatorii furând active digitale în valoare de aproape 20 de milioane de dolari luni, 10 iunie.
Hackul @UwU_Lend de astăzi duce la pierderi de 19,4 milioane USD.
Cauza principală este o problemă de oracol de preț. În special, activul sUSDe este evaluat ca median din mai multe surse. Cinci dintre ele, adică FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD și GHOUSDe, au fost manipulate în timpul hackului.
Furatul… https://t.co/4ec92zxoql pic.twitter.com/xuGGegfDpV
— PeckShield Inc. (@peckshield) 10 iunie 2024
Exploatarea în curs a fost descoperită pentru prima dată de firma de securitate în lanț Cyvers, care a alertat imediat UwU Lend despre atac.
Într-o postare pe platforma de socializare X (fostă Twitter), Cyvers a scris: „Hei @UwU_Lend, ești atacat! Până acum, adresa a primit aproximativ 14 milioane de dolari…” Pe măsură ce atacul s-a desfășurat, suma totală furată a depășit rapid pragul de 20 de milioane de dolari, făcându-l unul dintre cele mai importante hack-uri criptografice ale anului.
????ALERTĂ????Hei @UwU_Lend, ești atacat!
Până acum adresa a primit aproximativ 14 milioane de dolari
Vor urma mai multe actualizări!
Vă rugăm să ne contactați pentru a afla cum să vă securizați activele digitale!#CyversAlertpic.twitter.com/IND77hbTbH
— ???? Alerte Cyvers ???? (@CyversAlerts) 10 iunie 2024
UwU Lend, un protocol care permite utilizatorilor să depună și să împrumute criptomonede, a fost fondat în septembrie 2022 de Michael Patryn, cunoscut și sub numele de 0xSifu.
Patryn este o figură controversată în spațiul cripto, cel mai bine cunoscută pentru că a co-fondat schimbul QuadrigaCX, acum dispărut.
În ciuda istoriei sale relativ scurte, UwU Lend a adunat un impresionant 91 de milioane de dolari în Total Value Locked (TVL) înainte de exploit.
Investigațiile efectuate de firmele de securitate blockchain Cyvers și Beosin au dezvăluit că atacatorul a folosit o strategie sofisticată pentru a comite furtul.
Utilizând un împrumut flash, hackerul a reușit să manipuleze fluxul de preț al monedei stabile a protocolului, USDe, și versiunea sa sintetică, sUSDe.
Această manipulare a permis atacatorului să exploateze o vulnerabilitate critică în sistemul oracol al prețurilor al UwU Lend, permițându-le să consume fondurile protocolului.
Potrivit lui Matthew Jiang, directorul serviciilor de securitate la Blocksec, cauza principală a exploit-ului a fost un blockchain Oracle proiectat necorespunzător.
Oracolele sunt componente vitale ale platformelor DeFi, responsabile pentru furnizarea de date precise privind prețurile protocolului. Atunci când aceste sisteme nu sunt securizate sau proiectate în mod adecvat, ele devin ținte principale pentru atacatorii care doresc să exploateze punctele slabe și să fure fonduri.
În urma atacului, co-fondatorul UwU Lend, Michael Patryn, a adoptat o abordare neconvențională pentru a recupera fondurile furate. Patryn, care are un trecut în carouri în industria cripto, a trimis un mesaj blockchain hackerului, oferind o recompensă de 20% (aproximativ 4 milioane de dolari) în schimbul returnării celor 80% rămase din activele furate.
Mesajul includea și o amenințare de a urmări hackerul „din toate unghiurile” dacă nu se conformează ofertei până pe 12 iunie la ora 17:00 UTC.
Deși astfel de oferte de recompense nu sunt neobișnuite în lumea cripto, ele sunt rareori acceptate de hackeri. Cu toate acestea, au existat cazuri în care atacatorii au returnat o parte din fondurile furate ca răspuns la propuneri similare.
Postarea Ești atacat! UwU Lend pierde 20 de milioane de dolari în atacul de împrumut flash a apărut prima dată pe Blockonomi.