Utilizatorii UwU Lend s-au bucurat miercuri după ce protocolul de împrumut a declarat că a fost capabil să ramburseze integral victimele recentei sale exploatări de 23 de milioane de dolari.

Dar sărbătorile lor au fost întrerupte când, la 7:46 dimineața, ora Londrei, același hacker s-a întors pentru a lua încă 3,7 milioane de dolari.

🚨Alerta de securitate SlowMist🚨

Am detectat că @UwU_Lend a suferit încă o pierdere de 3,72 milioane USD.https://t.co/ttLSq0m18u

Ca întotdeauna, fiți vigilenți! pic.twitter.com/6tz2e5NDwx

— SlowMist (@SlowMist_Team) 13 iunie 2024

Asta în ciuda faptului că UwU Lend i-a oferit hackerului o recompensă de 20% – în valoare de 4 milioane de dolari – pentru a returna fondurile utilizatorilor de la primul hack.

Al doilea hack vine după ce UwU Lend a declarat într-o postare X din 12 iunie că a identificat și remediat vulnerabilitatea de pe piața sa sUSDe pe care hackerul a exploatat-o ​​anterior.

„Toate celelalte piețe au fost revizuite de către profesioniști din industrie și auditori, fără probleme sau preocupări găsite”, se spune în protocol.

UwU Lend nu a returnat o cerere de comentariu.

UwU Lend a început să ramburseze utilizatorii miercuri, după ce exploatarea de 23 de milioane de dolari a forțat-o temporar să se deconecteze.

Începând cu ora 5 dimineața, joi, protocolul spunea că a rambursat aproximativ 9,7 milioane de dolari furați la primul hack.

„Protocolul va rambursa toate datoriile neperformante, cât mai repede posibil”, a spus UwU Lend. „Suntem bucuroși să anunțăm că nu s-au pierdut fonduri de utilizator din cauza acestui proces.”

Controversatul fondator al lui UwU Lend, Michael Patryn, mai cunoscut sub pseudonimul său 0xSifu, se oferise anterior să renunțe la orice acuzație dacă hackerul returnează 80% din cripto-ul furat, în valoare de aproximativ 18 milioane de dolari.

Atacul Oracle

Luni, un hacker a folosit un împrumut flash de 4 miliarde de dolari pentru a manipula prețul anumitor jetoane de pe UwU Lend, ceea ce le-a permis să epuizeze protocolul.

Un împrumut rapid este un tip de tranzacție DeFi în care un utilizator împrumută fonduri dintr-un protocol de împrumut și le rambursează în aceeași tranzacție.

În timp ce împrumuturile flash sunt adesea folosite de formatorii de piață pentru a arbitra rapid diferențele de preț pe piețele DeFi, ele fac posibile și exploatări care necesită cantități mari de capital pentru a fi realizate.

Fondatorul circuitului, Martin Derka, care a co-dezvoltat un instrument pentru detectarea exploatărilor bazate pe împrumuturi flash în timp ce era la firma de securitate criptografică Quantstamp, a spus că astfel de exploatări sunt notorii în DeFi.

„Aceste tipuri de vulnerabilități sunt de obicei foarte greu de descoperit în timpul auditurilor de contracte inteligente, deoarece necesită cunoaștere aprofundată a mai multor protocoale – cele pe care unul le auditează și cele care sunt folosite ca oracole”, a spus el pentru DL News.

„De asemenea, nu există suficiente instrumente automate care să fie capabile să descopere astfel de vulnerabilități.”

Lansat în 2022, UwU Lend este un furk al Aave, cel mai mare protocol de creditare DeFi cu depozite de 12,4 miliarde de dolari.

O furcă este locul în care o echipă de dezvoltatori folosește codul open-source dintr-un protocol DeFi existent pentru a lansa un protocol similar - adesea pe un blockchain diferit sau cu modificări minore.

Dar modificările aduse codului lui Aave i-au permis hackerului să epuizeze UwU Lend. Protocolul a folosit oracole ușor de manipulat - software care îi oferă prețurile diferitelor jetoane.

Tokenul UWU al lui UwU Lend a scăzut cu 15% în ultima săptămână și se tranzacționează la aproximativ 2,70 USD.

Aleks Gilbert este corespondent DeFi la DL News. Ai un pont? Trimiteți-i un e-mail la aleks@dlnews.com.