UwU Lend знову зламали за 3,7 мільйона доларів на тлі плану окупності за першу атаку

Користувачі UwU Lend раділи в середу після того, як у протоколі кредитування було сказано, що він здатний повністю відшкодувати жертвам нещодавнього експлойту на 23 мільйони доларів.

Але їхнє святкування було перервано, коли о 7:46 ранку за лондонським часом той самий хакер повернувся, щоб забрати ще 3,7 мільйона доларів.

🚨Попередження безпеки SlowMist🚨

Ми виявили, що @UwU_Lend зазнав чергових збитків у розмірі $3,72 млн.https://t.co/ttLSq0m18u

Як завжди, будьте пильними! pic.twitter.com/6tz2e5NDwx

— SlowMist (@SlowMist_Team) 13 червня 2024 р

І це незважаючи на те, що UwU Lend запропонувала хакеру винагороду в розмірі 20% — на суму 4 мільйони доларів — за повернення коштів користувачів після першого злому.

Другий злом стався після того, як UwU Lend повідомила в дописі X від 12 червня, що виявила та виправила вразливість на своєму ринку sUSDe, якою раніше скористався хакер.

«Усі інші ринки були переглянуті професіоналами галузі та аудиторами без жодних проблем чи проблем», — йдеться в протоколі.

UwU Lend не відповів на запит про коментар.

UwU Lend почав виплачувати кошти користувачам у середу після того, як експлойт на 23 мільйони доларів змусив його тимчасово перестати працювати.

Станом на 5 ранку в четвер протокол повідомив, що повернув близько 9,7 мільйонів доларів, вкрадених під час першого злому.

«Протокол погасить усі безнадійні борги настільки швидко, наскільки це можливо», — сказав UwU Lend. «Ми раді повідомити, що внаслідок цього процесу не було втрачено жодних коштів користувачів».

Суперечливий засновник UwU Lend Майкл Патрін, більш відомий під своїм псевдонімом 0xSifu, раніше запропонував зняти будь-які звинувачення, якщо хакер поверне 80% викраденої криптовалюти на суму близько 18 мільйонів доларів.

Атака Oracle

У понеділок хакер використав флеш-позику в розмірі 4 мільярдів доларів, щоб маніпулювати ціною певних токенів на UwU Lend, що дозволило їм злити протокол.

Флеш-позика — це тип транзакції DeFi, коли користувач позичає кошти з протоколу позики та повертає їх у тій самій транзакції.

Хоча флеш-позики часто використовуються маркет-мейкерами для швидкого арбітражу на різницю цін на ринках DeFi, вони також створюють можливі експлойти, які вимагають великих капіталовкладень.

Засновник Circuit Мартін Дерка, який, працюючи в компанії Quantstamp, спільно розробив інструмент для виявлення експлойтів на основі флеш-позик, сказав, що такі експлойти сумно відомі в DeFi.

«Подібні вразливості зазвичай дуже важко виявити під час аудиту смарт-контрактів, оскільки вони вимагають глибоких знань кількох протоколів — тих, які перевіряються, і тих, які використовуються як оракули», — сказав він DL News.

«Також недостатньо автоматизованих інструментів, здатних виявляти такі вразливості».

Запущений у 2022 році UwU Lend є форком Aave, найбільшого протоколу кредитування DeFi із депозитами на 12,4 мільярда доларів.

Форк — це місце, де команда розробників використовує код з відкритим вихідним кодом із існуючого протоколу DeFi для запуску подібного протоколу — часто в іншому блокчейні або з незначними змінами.

Але зміни в коді Aave дозволили хакеру злити UwU Lend. Протокол використовував легко маніпулювані оракули — програмне забезпечення, яке надає йому ціни різних токенів.

Токен UWU від UwU Lend впав на 15% за останній тиждень і торгується приблизно за 2,70 доларів США.

Алекс Гілберт є кореспондентом DeFi у DL News. Є підказка? Напишіть йому на aleks@dlnews.com.