TLDR
UwU Lend, протокол децентрализованного финансирования (DeFi), был взломан на сумму почти 20 миллионов долларов в понедельник, 10 июня.
Атака была впервые обнаружена фирмой по сетевой безопасности Cyvers, которая предупредила UwU Lend о продолжающемся эксплойте.
Злоумышленник использовал флэш-кредит, чтобы манипулировать ценовой лентой и использовать уязвимость в системе ценового оракула протокола.
Соучредитель UwU Lend Майкл Патрин, также известный как 0xSifu, предложил хакеру вознаграждение в размере 20% (около $4 млн) за возврат оставшихся украденных средств.
Этот инцидент подчеркивает уязвимости платформ DeFi и необходимость принятия более строгих мер безопасности для предотвращения подобных атак в будущем.
Протокол децентрализованного финансирования (DeFi) UwU Lend стал последней жертвой крупного взлома криптовалюты: в понедельник, 10 июня, злоумышленники похитили цифровые активы на сумму почти 20 миллионов долларов.
Сегодняшний взлом @UwU_Lend привел к убыткам в размере 19,4 миллиона долларов.
Основная причина — проблема с ценовым оракулом. В частности, актив sUSDe оценивается как медианный из нескольких источников. Пять из них, а именно FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD и GHOUSDe, подверглись манипуляциям во время взлома.
Украденное… https://t.co/4ec92zxoql pic.twitter.com/xuGGegfDpV
– PeckShield Inc. (@peckshield) 10 июня 2024 г.
Продолжающийся эксплойт был впервые обнаружен фирмой безопасности сети Cyvers, которая незамедлительно предупредила UwU Lend об атаке.
В сообщении в социальной сети X (ранее Twitter) Сайверс написал: «Эй, @UwU_Lend, на тебя нападают! На данный момент адрес составил около 14 миллионов долларов…» По мере развития атаки общая сумма украденных быстро превысила отметку в 20 миллионов долларов, что сделало ее одним из самых значительных крипто-взломов года.
????ВНИМАНИЕ????Эй, @UwU_Lend, на тебя напали!
На данный момент адрес получил около 14 миллионов долларов.
Больше обновлений будет следовать!
Пожалуйста, свяжитесь с нами, чтобы узнать, как защитить ваши цифровые активы#CyversAlertpic.twitter.com/IND77hbTbH
— ???? Оповещения Сайверса ???? (@CyversAlerts) 10 июня 2024 г.
UwU Lend, протокол, который позволяет пользователям вносить и брать взаймы криптовалюту, был основан в сентябре 2022 года Майклом Патрином, также известным как 0xSifu.
Патрин — противоречивая фигура в криптопространстве, наиболее известная как соучредитель ныне несуществующей биржи QuadrigaCX.
Несмотря на свою относительно короткую историю, до взлома UwU Lend накопила внушительную сумму в 91 миллион долларов в виде общей заблокированной стоимости (TVL).
Расследования компаний Cyvers и Beosin, занимающихся безопасностью блокчейнов, показали, что злоумышленник использовал сложную стратегию для совершения кражи.
Используя флэш-кредит, хакер смог манипулировать ценами на стейблкоин протокола USDe и его синтетическую версию sUSDe.
Эта манипуляция позволила злоумышленнику воспользоваться критической уязвимостью в системе ценовых оракулов UwU Lend, что позволило им истощить средства протокола.
По словам Мэтью Цзяна, директора службы безопасности Blocksec, основной причиной эксплойта был неправильно спроектированный блокчейн Oracle.
Оракулы — жизненно важные компоненты платформ DeFi, отвечающие за предоставление точных данных о ценах в протокол. Когда эти системы недостаточно защищены или спроектированы, они становятся основной мишенью для злоумышленников, стремящихся воспользоваться слабыми местами и украсть средства.
После нападения соучредитель UwU Lend Майкл Патрин применил нетрадиционный подход, чтобы вернуть украденные средства. Патрин, имеющий неоднозначное прошлое в криптоиндустрии, отправил хакеру сообщение в блокчейне, предложив вознаграждение в размере 20% (около 4 миллионов долларов) в обмен на возврат оставшихся 80% украденных активов.
В сообщении также содержалась угроза преследовать хакера «со всех сторон», если он не выполнит предложение до 17:00 UTC 12 июня.
Хотя такие предложения вознаграждений не являются редкостью в мире криптовалют, хакеры редко принимают их. Однако были случаи, когда злоумышленники возвращали часть украденных средств в ответ на подобные предложения.
Пост На вас напали! UwU Lend потеряла 20 миллионов долларов в результате атаки на мгновенный кредит. Впервые появилось на Blockonomi.
