TLDR
У понеділок, 10 червня, UwU Lend, протокол децентралізованого фінансування (DeFi), було зламано на майже 20 мільйонів доларів.
Атака була вперше виявлена компанією з безпеки мережі Cyvers, яка попередила UwU Lend про поточний експлойт.
Зловмисник використовував флеш-позику, щоб маніпулювати ціновим каналом і використовувати вразливість у системі цінового оракула протоколу.
Співзасновник UwU Lend Майкл Патрін, також відомий як 0xSifu, запропонував хакеру винагороду в 20% (близько 4 мільйонів доларів) за повернення решти вкрадених коштів.
Цей інцидент підкреслює вразливість платформ DeFi і потребу в посиленні заходів безпеки для запобігання подібним атакам у майбутньому.
Протокол децентралізованих фінансів (DeFi) UwU Lend став останньою жертвою великого зламу криптовалюти, у результаті якого зловмисники витягли цифрові активи на суму майже 20 мільйонів доларів у понеділок, 10 червня.
Сьогоднішній злом @UwU_Lend призвів до збитків у розмірі $19,4 млн.
Основною причиною є проблема оракула ціни. Зокрема, актив sUSDe оцінюється як медіана з кількох джерел. П’ять із них, тобто FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD і GHOUSDe, зазнали маніпуляцій під час злому.
Вкрадений… https://t.co/4ec92zxoql pic.twitter.com/xuGGegfDpV
— PeckShield Inc. (@peckshield) 10 червня 2024 р
Експлойт, що триває, вперше виявила захисна фірма Cyvers, яка миттєво повідомила UwU Lend про атаку.
У дописі на платформі соціальних мереж X (раніше Twitter) Сайверс написав: «Привіт, @UwU_Lend, на тебе атакують! Наразі адреса отримала близько 14 мільйонів доларів…” У міру того, як розгорнулася атака, загальна сума викраденого швидко перевищила позначку в 20 мільйонів доларів, що зробило це одним із найзначніших криптозломів року.
????УВАГА????Гей @UwU_Lend, на тебе атакують!
Наразі адреса отримала близько 14 мільйонів доларів
Більше оновлень буде згодом!
Зв’яжіться з нами, щоб дізнатися, як захистити свої цифрові активи#CyversAlertpic.twitter.com/IND77hbTbH
— ???? Cyvers Alerts ???? (@CyversAlerts) 10 червня 2024 р
UwU Lend, протокол, який дозволяє користувачам вносити та позичати криптовалюту, був заснований у вересні 2022 року Майклом Патріном, також відомим як 0xSifu.
Патрін є суперечливою фігурою в криптопросторі, найбільш відомий співзасновником нині неіснуючої біржі QuadrigaCX.
Незважаючи на свою відносно коротку історію, UwU Lend зібрав вражаючий 91 мільйон доларів у Total Value Locked (TVL) до експлойту.
Розслідування, проведені фірмами безпеки блокчейну Cyvers і Beosin, показали, що зловмисник використовував складну стратегію для здійснення крадіжки.
Використовуючи флеш-позику, хакер зміг маніпулювати ціновим каналом стейблкойна протоколу USDe та його синтетичної версії sUSDe.
Ця маніпуляція дозволила зловмиснику використати критичну вразливість у системі цінового оракула UwU Lend, що дозволило йому вичерпати кошти протоколу.
Основною причиною експлойту, за словами Метью Цзяна, директора служби безпеки Blocksec, був неправильно розроблений блокчейн Oracle.
Оракули є життєво важливими компонентами платформ DeFi, відповідальними за надання точних даних про ціни для протоколу. Якщо ці системи недостатньо захищені або спроектовані, вони стають основними цілями для зловмисників, які прагнуть скористатися слабкими місцями та викрасти кошти.
Після атаки співзасновник UwU Lend Майкл Патрін застосував нетрадиційний підхід, щоб повернути вкрадені кошти. Патрін, який має складне минуле в криптоіндустрії, надіслав хакеру блокчейн-повідомлення, пропонуючи винагороду в розмірі 20% (приблизно 4 мільйони доларів) в обмін на повернення решти 80% викрадених активів.
У повідомленні також містилася погроза переслідувати хакера «з усіх боків», якщо він не виконає пропозицію до 12 червня о 17:00 UTC.
Хоча такі пропозиції винагороди не є рідкістю в криптосвіті, хакери рідко приймають їх. Однак були випадки, коли зловмисники повертали частину вкрадених коштів у відповідь на подібні пропозиції.
Пост Вас атакують! UwU Lend втрачає 20 мільйонів доларів під час атаки на швидкі кредити спершу з’явиться на Blockonomi.
