Nhóm đằng sau giao thức UwU Lend đã treo giải thưởng trị giá 5 triệu đô la cho bất kỳ ai có thể xác định được kẻ tấn công sau khi giao thức này bị khai thác lần thứ hai.
Hacker đằng sau giao thức UwU Lend đã đánh cắp tổng cộng 24 triệu USD sau hai cuộc tấn công.
Nhóm cho vay UwU cung cấp tiền thưởng
Giao thức cho vay DeFi UwU Lend đã phải hứng chịu hai vụ hack trong ba ngày qua, với cuộc tấn công thứ hai xảy ra vào thứ Năm khi giao thức này đang trong quá trình hoàn trả sau cuộc tấn công đầu tiên. UwU Lend đã đưa ra thời hạn cho hacker phải trả lại 80% số tiền bị đánh cắp. Tuy nhiên, sau khi không đáp ứng được thời hạn này, nhóm đã gửi một tin nhắn trên chuỗi cho hacker, nêu rõ:
“Thời hạn hoàn trả số tiền mà bạn đã đánh cắp đã qua. Tiền thưởng 5 triệu đô la cho người đầu tiên xác định và xác định được vị trí của bạn.”
UwU Lend tuyên bố rằng khoản tiền thưởng trị giá 5 triệu đô la sẽ được thanh toán bằng ETH và được trao cho cá nhân đầu tiên có thể xác định được vị trí của hacker đứng sau hai lần khai thác. Diễn biến này xảy ra sau khi cùng một hacker thực hiện vụ khai thác thứ hai nhằm đánh cắp tiền từ các nhóm uDAI, uWETH, uLUSD, uFRAX, uCRVUSD và uUSDT của UwU vào ngày 13 tháng 6. Công ty bảo mật chuỗi khối Cyvers tuyên bố rằng cùng một hacker đã thực hiện cả hai cách khai thác nhắm vào giao thức.
Khai thác đầu tiên
UwU Lend đã bị khai thác vào ngày 10 tháng 6. Giao thức này đã bị mất 19,3 triệu USD trong quá trình khai thác, được thực hiện thông qua các khoản vay nhanh. Nhóm tại UwU Lend đã tạm dừng giao thức sau khi khai thác và đảm bảo với người dùng rằng hầu hết tài sản đều an toàn. UwU Lend cũng đề nghị cho hacker một khoản tiền thưởng mũ trắng trị giá 4 triệu đô la để trả lại số tiền bị đánh cắp, bao gồm Wrapped Ethereum (wETH), Wrapped Bitcoin (wBTC), Curve DAO (CRV), Tether (USDT), Staked USDe (sUSDe) và vài người khác.
Theo công ty bảo mật Beosin, kẻ tấn công đã thao túng giá USDe bằng cách sử dụng các khoản vay nhanh để hoán đổi nó lấy các token khác. Điều này dẫn đến giá USDe và sUSDe giảm. Sau đó, hacker đã gửi một số token vào UwU Lend, cho vay thêm sUSDe và đẩy giá USDe lên cao hơn. Hacker đã sử dụng thủ thuật tương tự với sUSDe và mượn CRV.
Đến thứ Tư, nhóm tại UwU Lend đã thông báo cho người dùng rằng họ đã xác định được lỗ hổng dẫn đến việc khai thác và giải quyết nó. Kết quả là giao thức không bị tạm dừng và thị trường đã được khởi động lại. Nhóm cũng tuyên bố sẽ trả hết các khoản nợ khó đòi và tiền của người dùng không bị ảnh hưởng trong quá trình khai thác.
Cuộc tấn công thứ hai
UwU Lend đã phải hứng chịu cuộc tấn công thứ hai vào thứ Năm trong khi giao thức đang trong quá trình hoàn trả. Lần khai thác thứ hai chứng kiến kẻ tấn công tương tự rút thêm 3,7 triệu USD từ giao thức và chuyển số tiền bị đánh cắp thành ETH. Các nhóm bị ảnh hưởng trong cuộc tấn công thứ hai là uDAI, uWETH, uLUSD, uFRAX, UCRVUSD và uUSDT. Việc khai thác này là kết quả của một cuộc tấn công thao túng giá.
Nhiều người trong cộng đồng tiền điện tử lo ngại sau cuộc tấn công thứ hai và đặt ra câu hỏi về sự an toàn của tiền với UwU Lend. Sau cuộc tấn công, giao thức đã tạm dừng hoạt động lần thứ hai trong một tuần để điều tra việc khai thác.
Tuyên bố miễn trừ trách nhiệm: Bài viết này được cung cấp chỉ nhằm mục đích cung cấp thông tin. Nó không được cung cấp hoặc nhằm mục đích sử dụng làm tư vấn pháp lý, thuế, đầu tư, tài chính hoặc tư vấn khác.
