DeFi borç verme protokolü UwU Lend, son üç gün içinde iki saldırıya uğradı. İkinci istismar Perşembe günü, protokolün ilk hackten kaynaklanan geri ödeme süreci sırasında meydana geldi. Devam eden destan protokolden yaklaşık 23 milyon dolar aldı.
DeFi Protokolü 20 Milyon Dolarlık Suistimale Uğradı
10 Haziran'da DeFi projesi UwU Lend, 19,3 milyon doları alan karmaşık bir saldırıya uğradı. Saldırı, görünüşe göre protokolü istismar etmek için flaş kredilerin kullanılmasını içeriyordu.
Proje, protokolü duraklatarak durumu hızlı bir şekilde ele aldı ve kullanıcılara çoğu varlığın güvende olduğu konusunda güvence verdi.
Ek olarak ekip, fonların iadesi karşılığında 4 milyon dolarlık beyaz şapka ödülü teklif etti. Çalınan varlıkların listesi Wrapped Ethereum (wETH), Wrapped Bitcoin (wBTC), Curve DAO (CRV), Tether (USDT), Staked USDe (sUSDE) ve diğerlerini içeriyordu.
Blockchain güvenlik firması Beosin, saldırganın USDe (USDE) fiyatını flaş krediler yoluyla başka tokenlarla takas ederek manipüle ettiğini ortaya çıkardı. Görünüşe göre bu hamle USDe ve sUSDE’nin fiyatını düşürdü.
@UwU_Lend saldırısının analizi:
UwU Lend saldırısı fiyat manipülasyonundan kaynaklanıyor. Saldırgan ilk önce $USDe'yi diğer tokenlarla takas etmek için flaş krediyi kullandı, bu da $USDe ve $sUSDe fiyatlarının düşmesine yol açtı.
Saldırgan, bir kısmını UwU Lend'e yatırdı ve ardından beklenenden daha fazla $sUSDe borç verdi. pic.twitter.com/wanIwZymBZ
- Beosin Uyarısı (@BeosinAlert) 11 Haziran 2024
Fiyat manipülasyonunun ardından bilgisayar korsanı, tokenlerin bir kısmını UwU Lend'e yatırdı ve "beklenenden daha fazla $sUSDe borç vererek" USDe'nin fiyatını yükseltti.
Benzer şekilde saldırgan, sUSDE'yi DeFi protokolüne yatırdı ve CRV'yi ödünç aldı.
Çarşamba günü UwU Lend, kullanıcılara ekibinin güvenlik açığını tespit ettiğini bildirdi. Gönderiye göre bu, sUSDE piyasa kahinine özgü bir güvenlik açığıydı ve raporun yayınlandığı tarihte çözülmüştü.
Sonuç olarak protokolün duraklatılması kaldırıldı ve piyasalar normal operasyonlarına dönmek üzere yavaş yavaş yeniden başlatıldı.
DeFi projesi ayrıca tüm şüpheli borcunu ödeyeceğini ve kullanıcıların fonlarının "UwU Lend'de güvende" olduğunu iddia ederek istismar sırasında kaybolmadığını duyurdu.
DéFì Vu'yu Alır mısınız?
Hikayenin sonu gibi görünen şeyin bir destanın ilk bölümü olduğu ortaya çıktı. Perşembe günü, protokol geri ödeme sürecini yürütürken UwU Lend'e ikinci bir saldırı yapıldığına dair raporlar ortaya çıktı.
Raporlara göre aynı saldırgan, fonları tekrar ETH'ye dönüştürmeden önce DeFi protokolünden 3,7 milyon dolar daha çekti. Etkilenen havuzlar arasında uDAI, uWETH, uLUSD, uFRAX, UCRVUSD ve uUSDT yer aldı.
Kripto topluluğu ikinci saldırıyla ilgili endişelerini dile getirdi ve birçok kişi fonlarının gerçekten güvende olup olmadığını sorguladı. Kullanıcılar, fonların "safu" değil "Sifu ile birlikte" olduğu konusunda şaka yapmaya başladı.
UwU Lend, Sifu olarak da bilinen Michael Patryn tarafından kuruldu. Patryn, artık çökmüş olan QuadrigaCX'in kurucu ortağıydı.
Bildirildiği üzere Kanadalı yetkililer, borsanın suç faaliyetlerine karışması nedeniyle Sifu'ya karşı açıklanamayan bir servet emri (UWO) peşindeydi.
DeFi projesi bu hafta ikinci kez protokolü duraklattı ve durum araştırılıyor. Ancak çevrimiçi raporlar, ikinci istismarın da ilk saldırıya benzer bir güvenlik açığından kaynaklandığını iddia ediyor.
MetaTrust Labs, hacker'ın Pazartesi günkü hacklemeden elde ettiği 60 milyon uSUSDE'yi "havuzu boşaltmak için teminat olarak" kullandığını açıkladı.
@UwU_Lend'in protokolü duraklatması nedeniyle bugünkü hack'in nedenini ortaya çıkarmak istiyoruz.
Bilgisayar korsanı, önceki hacklemede aldığı 60 milyon $uSUSDE'yi havuzu boşaltmak için teminat olarak kullandı ve şimdi hala 5 milyon $uSUSDE'ye sahip.
UWU Lend için $SUSDE'yi desteklemeyi bırakmanız önerilir… https://t.co/KWWFu6bYmk pic.twitter.com/UecVF5p9Qi
— MetaTrust Labs (@MetaTrustLabs) 13 Haziran 2024
Haber, kullanıcıların UwU Lend ekibinin saldırganın cüzdanındaki tokenlardan habersiz olup olmadığını merak etmesine neden oldu. Bazıları ayrıca sUSDE teminatını desteklemeyi neden bırakmadıklarını da sorguladı.
Bu yazının yazıldığı sırada ikinci istismara ilişkin resmi bir açıklama yayınlanmamıştı.
Yasal Uyarı: Sağlanan bilgiler ticari tavsiye değildir. Bitcoinworld.co.in bu sayfada verilen bilgilere dayanarak yapılan yatırımlardan dolayı hiçbir sorumluluk kabul etmez. Herhangi bir yatırım kararı vermeden önce bağımsız araştırma yapmanızı ve/veya kalifiye bir profesyonele danışmanızı önemle tavsiye ederiz.
