Пользователи UwU Lend возрадовались в среду после того, как протокол кредитования заявил, что он может полностью возместить жертвам недавнего эксплойта на сумму 23 миллиона долларов.
Но их празднование было прервано, когда в 7:46 утра по лондонскому времени тот же хакер вернулся и забрал еще 3,7 миллиона долларов.
🚨Оповещение безопасности SlowMist🚨
Мы обнаружили, что @UwU_Lend понес еще одну потерю в размере 3,72 миллиона долларов.https://t.co/ttLSq0m18u
Как всегда, будьте бдительны! pic.twitter.com/6tz2e5NDwx
– SlowMist (@SlowMist_Team) 13 июня 2024 г.
И это несмотря на то, что UwU Lend предложила хакеру вознаграждение в размере 20% — на сумму 4 миллиона долларов — за возврат средств пользователей от первого взлома.
Второй взлом произошел после того, как UwU Lend сообщила в сообщении X от 12 июня, что обнаружила и устранила уязвимость на своем рынке sUSDe, которой ранее воспользовался хакер.
«Все остальные рынки были повторно проверены профессионалами отрасли и аудиторами, и никаких проблем или проблем не обнаружено», — говорится в протоколе.
UwU Lend не ответил на запрос о комментариях.
UwU Lend начала выплачивать выплаты пользователям в среду после того, как эксплойт стоимостью 23 миллиона долларов вынудил его временно отключиться от сети.
По состоянию на 5 часов утра четверга в протоколе говорилось, что он вернул около 9,7 миллионов долларов, украденных в результате первого взлома.
«Протокол позволит погасить все безнадежные долги настолько быстро, насколько это возможно», — заявил УвУ Ленд. «Мы рады сообщить, что в результате этого процесса средства пользователей не были потеряны».
Скандальный основатель UwU Lend Майкл Патрин, более известный под псевдонимом 0xSifu, ранее предлагал снять любые обвинения, если хакер вернет 80% украденной криптовалюты на сумму около 18 миллионов долларов.
Атака Oracle
В понедельник хакер использовал флэш-кредит в размере 4 миллиардов долларов, чтобы манипулировать ценой определенных токенов на UwU Lend, что позволило им истощить протокол.
Флэш-кредит — это тип транзакции DeFi, при которой пользователь занимает средства из протокола кредитования и выплачивает их в той же транзакции.
Хотя маркет-мейкеры часто используют флэш-кредиты для быстрого арбитража ценовых различий на рынках DeFi, они также позволяют использовать эксплойты, требующие больших объемов капитала для работы.
Основатель Circuit Мартин Дерка, который в период работы в компании Quantstamp, занимающейся криптографической безопасностью, разработал инструмент для обнаружения эксплойтов, основанных на флэш-кредитах, сказал, что такие эксплойты широко известны в DeFi.
«Подобные уязвимости обычно очень трудно обнаружить во время аудита смарт-контрактов, поскольку они требуют глубокого знания нескольких протоколов — тех, которые проверяются, и тех, которые используются в качестве оракулов», — сказал он DL News.
«Также недостаточно автоматизированных инструментов, способных обнаруживать такие уязвимости».
UwU Lend, запущенный в 2022 году, представляет собой форк Aave, крупнейшего протокола кредитования DeFi с депозитами на сумму 12,4 миллиарда долларов.
Форк — это когда команда разработчиков использует открытый исходный код существующего протокола DeFi для запуска аналогичного протокола — часто на другом блокчейне или с небольшими изменениями.
Но изменения в коде Aave позволили хакеру слить UwU Lend. В протоколе используются легко манипулируемые оракулы — программное обеспечение, которое сообщает цены на различные токены.
Токен UwU Lend UWU упал на 15% за последнюю неделю и торгуется на уровне около $2,70.
Алекс Гилберт — корреспондент DeFi в DL News. Есть подсказка? Напишите ему по адресу aleks@dlnews.com.