TLDR
Merkezi olmayan bir finans (DeFi) protokolü olan UwU Lend, 10 Haziran Pazartesi günü yaklaşık 20 milyon dolar karşılığında saldırıya uğradı.
Saldırı ilk olarak zincir üstü güvenlik şirketi Cyvers tarafından keşfedildi ve UwU Lend'i devam eden istismar konusunda uyardı.
Saldırgan, fiyat akışını değiştirmek ve protokolün fiyat oracle sistemindeki bir güvenlik açığından yararlanmak için flaş kredi kullandı.
0xSifu olarak da bilinen UwU Lend kurucu ortağı Michael Patryn, hacker'a çalınan fonların geri kalanını iade etmesi için %20 (yaklaşık 4 milyon dolar) ödül teklif etti.
Olay, DeFi platformlarındaki güvenlik açıklarını ve gelecekte benzer saldırıları önlemek için daha güçlü güvenlik önlemlerine duyulan ihtiyacı vurguluyor.
Merkezi olmayan finans (DeFi) protokolü UwU Lend, saldırganların 10 Haziran Pazartesi günü yaklaşık 20 milyon dolar değerindeki dijital varlıkları ele geçirmesiyle büyük bir kripto para birimi saldırısının son kurbanı oldu.
Bugünkü @UwU_Lend saldırısı 19,4 milyon dolarlık kayba yol açtı.
Temel neden fiyat kehaneti sorunudur. Özellikle, sUSDe varlığı birden fazla kaynaktan ortalama olarak fiyatlandırılıyor. Bunlardan beşi (FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD ve GHOUSDe) hack sırasında manipüle edildi.
Çalınan… https://t.co/4ec92zxoql pic.twitter.com/xuGGegfDpV
- PeckShield Inc. (@peckshield) 10 Haziran 2024
Devam eden istismar ilk olarak zincir üstü güvenlik şirketi Cyvers tarafından keşfedildi ve UwU Lend'i saldırı konusunda derhal uyardı.
Cyvers, sosyal medya platformu X'te (eski adıyla Twitter) bir gönderide şunları yazdı: "Hey @UwU_Lend, saldırıya uğruyorsun! Adres şu ana kadar 14 milyon dolar civarındaydı…” Saldırı ilerledikçe çalınan toplam miktar hızla 20 milyon doları aştı ve bu da onu yılın en önemli kripto saldırılarından biri haline getirdi.
????UYARI????Hey @UwU_Lend, saldırıya uğruyorsunuz!
Şu ana kadar adres yaklaşık 14 milyon dolar aldı
Daha fazla güncelleme takip edecek!
Dijital varlıklarınızı nasıl güvence altına alacağınızı öğrenmek için lütfen bizimle iletişime geçin#CyversAlertpic.twitter.com/IND77hbTbH
— ???? Cyvers Uyarıları ???? (@CyversAlerts) Haziran 10, 2024
Kullanıcıların kripto para yatırmasına ve ödünç almasına olanak tanıyan bir protokol olan UwU Lend, Eylül 2022'de 0xSifu olarak da bilinen Michael Patryn tarafından kuruldu.
Patryn, kripto alanında tartışmalı bir isim ve artık kullanılmayan QuadrigaCX borsasının kurucu ortağı olarak biliniyor.
Nispeten kısa geçmişine rağmen UwU Lend, bu istismardan önce Kilitli Toplam Değer (TVL) alanında 91 milyon dolarlık etkileyici bir rakam elde etmişti.
Blockchain güvenlik firmaları Cyvers ve Beosin tarafından yapılan araştırmalar, saldırganın hırsızlığı gerçekleştirmek için karmaşık bir strateji kullandığını ortaya çıkardı.
Bilgisayar korsanı, flash kredi kullanarak protokolün stablecoin'i USDe ve sentetik versiyonu sUSDe'nin fiyat akışını manipüle edebildi.
Bu manipülasyon, saldırganın UwU Lend'in fiyat oracle sistemindeki kritik bir güvenlik açığından yararlanmasına ve protokolün fonlarını tüketmesine olanak tanıdı.
Blocksec güvenlik hizmetleri direktörü Matthew Jiang'a göre istismarın temel nedeni, yanlış tasarlanmış bir blockchain Oracle'ıydı.
Oracle'lar, protokole doğru fiyat verilerinin sağlanmasından sorumlu olan DeFi platformlarının hayati bileşenleridir. Bu sistemler yeterince güvenli hale getirilmediğinde veya tasarlanmadığında, zayıf noktalardan yararlanmak ve fon çalmak isteyen saldırganların ana hedefi haline gelirler.
Saldırının ardından UwU Lend kurucu ortağı Michael Patryn, çalınan fonları geri almak için alışılmadık bir yaklaşım benimsedi. Kripto sektöründe inişli çıkışlı bir geçmişe sahip olan Patryn, hacker'a çalınan varlıkların geri kalan %80'inin iadesi karşılığında %20 ödül (yaklaşık 4 milyon dolar) teklif eden bir blockchain mesajı gönderdi.
Mesajda ayrıca, 12 Haziran 17:00 UTC'ye kadar teklife uymamaları halinde hacker'ın "her açıdan" takip edileceği tehdidi de yer alıyordu.
Bu tür ödül teklifleri kripto dünyasında alışılmadık bir durum olmasa da bilgisayar korsanları tarafından nadiren kabul ediliyor. Ancak benzer tekliflere yanıt olarak saldırganların çalınan fonların bir kısmını iade ettiği durumlar da yaşandı.
Saldırıya Uğruyorsunuz! UwU Lend, Flaş Kredi Saldırısında 20 Milyon Dolar Kaybetti İlk olarak Blockonomi'de ortaya çıktı.
