Giao thức cho vay DeFi UwU Lend đã hứng chịu hai cuộc tấn công trong ba ngày qua. Lần khai thác thứ hai xảy ra vào thứ Năm trong quá trình hoàn trả giao thức từ lần hack đầu tiên. Câu chuyện đang diễn ra đã lấy đi khoảng 23 triệu đô la từ giao thức.

Giao thức DeFi đạt thành công với mức khai thác 20 triệu đô la

Vào ngày 10 tháng 6, dự án DeFi UwU Lend đã bị tấn công tinh vi, cướp đi 19,3 triệu USD. Cuộc tấn công dường như liên quan đến việc sử dụng các khoản vay nhanh để khai thác giao thức. 

Dự án đã nhanh chóng giải quyết tình huống này bằng cách tạm dừng giao thức và đảm bảo với người dùng rằng hầu hết tài sản đều an toàn.

Ngoài ra, nhóm còn đưa ra khoản tiền thưởng mũ trắng trị giá 4 triệu đô la cho việc hoàn lại số tiền. Danh sách các tài sản bị đánh cắp bao gồm Wrapped Ethereum (wETH), Wrapped Bitcoin (wBTC), Curve DAO (CRV), Tether (USDT), Staked USDe (sUSDE) và các tài sản khác.

Công ty bảo mật chuỗi khối Beosin tiết lộ rằng kẻ tấn công đã thao túng giá USDe (USDE) bằng cách hoán đổi nó lấy các token khác thông qua các khoản vay nhanh. Có vẻ như động thái này đã làm giảm giá USDe và sUSDE.

Phân tích cuộc tấn công @UwU_Lend:

Cuộc tấn công UwU Lend là do thao túng giá. Trước tiên, kẻ tấn công sử dụng khoản vay nhanh để hoán đổi $USDe lấy các token khác, dẫn đến giá $USDe và $sUSDe thấp hơn.

Kẻ tấn công đã gửi một số tiền vào UwU Lend và sau đó cho vay nhiều $sUSDe hơn dự kiến. pic.twitter.com/wanIwZymBZ

- Cảnh báo Beosin (@BeosinAlert) Ngày 11 tháng 6 năm 2024

Sau hành vi thao túng giá, hacker đã gửi một phần token vào UwU Lend và “cho vay nhiều $sUSDe hơn dự kiến”, khiến giá của USDe cao hơn. 

Tương tự, kẻ tấn công đã gửi sUSDE vào giao thức DeFi và mượn CRV.

Vào thứ Tư, UwU Lend đã thông báo cho người dùng rằng nhóm của họ đã xác định được lỗ hổng.  Theo bài đăng, đây là một lỗ hổng duy nhất đối với nhà tiên tri thị trường sUSDE và đã được giải quyết tại thời điểm báo cáo.

Do đó, giao thức không bị tạm dừng và thị trường dần dần khởi động lại để trở lại hoạt động bình thường. 

Dự án DeFi cũng thông báo rằng họ sẽ hoàn trả tất cả các khoản nợ khó đòi và tiền của người dùng không bị mất trong quá trình khai thác, đồng thời tuyên bố rằng tiền của họ “an toàn tại UwU Lend”.

Bạn có bị DéFì Vu không?

Những gì tưởng chừng như là phần kết của câu chuyện hóa ra lại là phần đầu tiên của một câu chuyện. Vào thứ Năm, các báo cáo về cuộc tấn công thứ hai vào UwU Lend đã xuất hiện khi giao thức này thực hiện quy trình hoàn trả.

Theo báo cáo, kẻ tấn công tương tự đã rút thêm 3,7 triệu đô la từ giao thức DeFi trước khi chuyển đổi số tiền đó sang ETH một lần nữa. Các nhóm bị ảnh hưởng bao gồm uDAI, uWETH, uLUSD, uFRAX, UCRVUSD và uUSDT.

Cộng đồng tiền điện tử bày tỏ mối quan ngại của họ về cuộc tấn công thứ hai, với nhiều câu hỏi liệu tiền của họ có thực sự an toàn hay không. Người dùng bắt đầu nói đùa rằng tiền không phải là “safu” mà thay vào đó là “với Sifu”.

UwU Lend được thành lập bởi Michael Patryn, còn được gọi là Sifu. Patryn là người đồng sáng lập QuadrigaCX hiện đã sụp đổ. 

Như đã đưa tin, chính quyền Canada đang theo đuổi lệnh trừng phạt tài sản không giải thích được (UWO) đối với Sifu vì sự tham gia của anh ta vào các hoạt động tội phạm của sàn giao dịch.

Dự án DeFi đã tạm dừng giao thức lần thứ hai trong tuần này và tình hình đang được điều tra. Tuy nhiên, các báo cáo trực tuyến cho rằng lần khai thác thứ hai là do một lỗ hổng tương tự như lần tấn công đầu tiên.

MetaTrust Labs giải thích rằng hacker dường như đã sử dụng 60 triệu uSUSDE thu được từ vụ hack hôm thứ Hai “làm tài sản thế chấp để rút cạn pool”.

Do @UwU_Lend đã tạm dừng giao thức, chúng tôi muốn tiết lộ lý do của vụ hack ngày hôm nay.

Tin tặc đã sử dụng 60 triệu đô la Mỹ mà anh ta/cô ta có được trong vụ hack trước đó làm tài sản thế chấp để rút cạn quỹ và hiện vẫn còn 5 triệu đô la Mỹ.

Đối với UWU Lend, bạn nên ngừng hỗ trợ $SUSDE… https://t.co/KWWFu6bYmk pic.twitter.com/UecVF5p9Qi

— Phòng thí nghiệm MetaTrust (@MetaTrustLabs) Ngày 13 tháng 6 năm 2024

Tin tức này khiến người dùng tự hỏi liệu nhóm UwU Lend có biết về các token trong ví của kẻ tấn công hay không. Một số người cũng đặt câu hỏi tại sao họ không ngừng hỗ trợ tài sản thế chấp sUSDE.

Tại thời điểm viết bài, lời giải thích chính thức cho lần khai thác thứ hai vẫn chưa được công bố.

Tuyên bố miễn trừ trách nhiệm: Thông tin được cung cấp không phải là lời khuyên giao dịch. Bitcoinworld.co.in không chịu trách nhiệm pháp lý đối với bất kỳ khoản đầu tư nào được thực hiện dựa trên thông tin được cung cấp trên trang này. Chúng tôi thực sự khuyên bạn nên nghiên cứu độc lập và/hoặc tham khảo ý kiến ​​​​của chuyên gia có trình độ trước khi đưa ra bất kỳ quyết định đầu tư nào.