TLDR
UwU Lend, một giao thức tài chính phi tập trung (DeFi), đã bị hack gần 20 triệu đô la vào thứ Hai, ngày 10 tháng Sáu.
Cuộc tấn công lần đầu tiên được phát hiện bởi công ty bảo mật on-chain Cyvers, công ty đã cảnh báo UwU Lend về việc khai thác đang diễn ra.
Kẻ tấn công đã sử dụng khoản vay nhanh để thao túng nguồn cấp dữ liệu giá và khai thác lỗ hổng trong hệ thống oracle giá của giao thức.
Người đồng sáng lập UwU Lend, Michael Patryn, còn được gọi là 0xSifu, đã đề nghị cho hacker một khoản tiền thưởng 20% (khoảng 4 triệu USD) để trả lại số tiền bị đánh cắp còn lại.
Vụ việc nêu bật các lỗ hổng trong nền tảng DeFi và sự cần thiết phải có các biện pháp bảo mật mạnh mẽ hơn để ngăn chặn các cuộc tấn công tương tự trong tương lai.
Giao thức tài chính phi tập trung (DeFi) UwU Lend đã trở thành nạn nhân mới nhất của một vụ hack tiền điện tử lớn, với những kẻ tấn công đã lấy đi tài sản kỹ thuật số trị giá gần 20 triệu đô la vào thứ Hai, ngày 10 tháng Sáu.
Vụ hack @UwU_Lend hôm nay dẫn đến thiệt hại 19,4 triệu USD.
Nguyên nhân sâu xa là vấn đề tiên tri về giá. Đặc biệt, tài sản sUSDe được định giá ở mức trung bình từ nhiều nguồn. Năm trong số đó, tức là FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD và GHOUSDe, đã bị thao túng trong quá trình hack.
Bị đánh cắp… https://t.co/4ec92zxoql pic.twitter.com/xuGGegfDpV
- PeckShield Inc. (@peckshield) Ngày 10 tháng 6 năm 2024
Việc khai thác đang diễn ra lần đầu tiên được phát hiện bởi công ty bảo mật trên chuỗi Cyvers, công ty này đã kịp thời cảnh báo cho UwU Lend về cuộc tấn công.
Trong một bài đăng trên nền tảng mạng xã hội X (trước đây là Twitter), Cyvers đã viết: “Này @UwU_Lend, bạn đang bị tấn công! Cho đến nay địa chỉ đã kiếm được khoảng 14 triệu đô la…” Khi cuộc tấn công diễn ra, tổng số tiền bị đánh cắp nhanh chóng vượt mốc 20 triệu đô la, khiến nó trở thành một trong những vụ hack tiền điện tử quan trọng nhất trong năm.
????ALERT????Này @UwU_Lend, bạn đang bị tấn công!
Cho đến nay địa chỉ đã nhận được khoảng 14 triệu USD
Sẽ có thêm thông tin cập nhật sau!
Vui lòng liên hệ với chúng tôi để tìm hiểu cách bảo mật tài sản kỹ thuật số của bạn#CyversAlertpic.twitter.com/IND77hbTbH
- ???? Cảnh báo của Cyvers ???? (@CyversAlerts) Ngày 10 tháng 6 năm 2024
UwU Lend, một giao thức cho phép người dùng gửi và vay tiền điện tử, được thành lập vào tháng 9 năm 2022 bởi Michael Patryn, còn được gọi là 0xSifu.
Patryn là một nhân vật gây tranh cãi trong không gian tiền điện tử, nổi tiếng với việc đồng sáng lập sàn giao dịch QuadrigaCX hiện không còn tồn tại.
Mặc dù có lịch sử tương đối ngắn nhưng UwU Lend đã tích lũy được số tiền ấn tượng 91 triệu USD trong Tổng giá trị bị khóa (TVL) trước khi bị khai thác.
Các cuộc điều tra của các công ty bảo mật blockchain Cyvers và Beosin đã tiết lộ rằng kẻ tấn công đã sử dụng một chiến lược tinh vi để thực hiện hành vi trộm cắp.
Bằng cách sử dụng khoản vay nhanh, hacker đã có thể thao túng nguồn cấp giá của stablecoin, USDe và phiên bản tổng hợp của nó, sUSDe.
Thao tác này cho phép kẻ tấn công khai thác lỗ hổng nghiêm trọng trong hệ thống tiên đoán giá của UwU Lend, cho phép chúng rút tiền của giao thức.
Nguyên nhân cốt lõi của việc khai thác, theo Matthew Jiang, giám đốc dịch vụ bảo mật tại Blocksec, là do Oracle blockchain được thiết kế không phù hợp.
Oracles là thành phần quan trọng của nền tảng DeFi, chịu trách nhiệm cung cấp dữ liệu giá chính xác cho giao thức. Khi các hệ thống này không được bảo mật hoặc thiết kế đầy đủ, chúng sẽ trở thành mục tiêu hàng đầu cho những kẻ tấn công tìm cách khai thác điểm yếu và đánh cắp tiền.
Sau vụ tấn công, người đồng sáng lập UwU Lend, Michael Patryn, đã thực hiện một cách tiếp cận độc đáo để lấy lại số tiền bị đánh cắp. Patryn, người có quá khứ khó khăn trong ngành công nghiệp tiền điện tử, đã gửi một tin nhắn blockchain cho hacker, đưa ra mức tiền thưởng 20% (khoảng 4 triệu USD) để đổi lấy việc trả lại 80% tài sản bị đánh cắp còn lại.
Tin nhắn cũng bao gồm lời đe dọa truy đuổi hacker “từ mọi góc độ” nếu họ không tuân thủ lời đề nghị trước 17:00 UTC ngày 12 tháng 6.
Mặc dù những đề nghị tiền thưởng như vậy không phải là hiếm trong thế giới tiền điện tử nhưng chúng hiếm khi được tin tặc chấp nhận. Tuy nhiên, đã có những trường hợp kẻ tấn công đã trả lại một phần số tiền bị đánh cắp để đáp lại các đề xuất tương tự.
bài đăng Bạn đang bị tấn công! UwU Lend mất 20 triệu USD trong cuộc tấn công Flash Loan xuất hiện đầu tiên trên Blockonomi.
