週三，UwU Lend 用戶歡呼雀躍，因爲該借貸協議表示，它能夠全額補償最近 2,300 萬美元漏洞的受害者。

但他們的慶祝活動被打斷了，倫敦時間早上 7:46，同一名黑客又回來盜取了 370 萬美元。

🚨SlowMist 安全警報🚨

我們發現@UwU_Lend 又遭受了 372 萬美元的損失。https://t.co/ttLSq0m18u

一如既往，保持警惕！pic.twitter.com/6tz2e5NDwx

— SlowMist (@SlowMist_Team) 2024 年 6 月 13 日

儘管 UwU Lend 向黑客提供了 20% 的賞金（價值 400 萬美元），以歸還用戶在第一次黑客攻擊中所獲得的資金。

第二次黑客攻擊發生之前，UwU Lend 在 6 月 12 日的 X 帖子中表示，它已經發現並修復了黑客先前利用的 sUSDe 市場漏洞。

該協議稱：“所有其他市場都已經過行業專業人士和審計師的重新審查，沒有發現任何問題或疑慮。”

UwU Lend 尚未迴應置評請求。

由於 2300 萬美元的漏洞導致 UwU Lend 暫時下線，該公司於週三開始償還用戶貸款。

截至週四凌晨 5 點，該協議表示已償還第一次黑客攻擊中被盜的約 970 萬美元。

UwU Lend 表示：“該協議將盡快償還所有壞賬。我們很高興地宣佈，在此過程中沒有用戶資金丟失。”

UwU Lend 備受爭議的創始人邁克爾·帕特林 (Michael Patryn)，以其筆名 0xSifu 而聞名，此前他曾表示，如果黑客歸還 80% 的被盜加密貨幣（價值約 1800 萬美元），他將撤銷任何指控。

預言機攻擊

週一，一名黑客利用 40 億美元的閃電貸操縱了 UwU Lend 上某些代幣的價格，從而耗盡了該協議。

閃電貸是一種 DeFi 交易，用戶從借貸協議中借入資金並在同一筆交易中償還。

雖然閃電貸經常被做市商用來在 DeFi 市場中快速套利價格差異，但它們也使得需要大量資本才能實施的漏洞成爲可能。

Circuit 創始人馬丁·德卡 (Martin Derka) 在加密安全公司 Quantstamp 任職期間，曾與他人共同開發了一種檢測閃電貸漏洞的工具。他表示，此類漏洞在 DeFi 中是臭名昭著的。

他告訴 DL News：“這些類型的漏洞通常很難在智能合約審計期間發現，因爲它們需要深入瞭解多種協議——那些正在審計的協議，以及那些被用作預言機的協議。”

“能夠發現此類漏洞的自動化工具也不夠。”

UwU Lend 於 2022 年推出，是 Aave 的一個分叉，Aave 是最大的 DeFi 借貸協議，擁有 124 億美元的存款。

分叉是指開發團隊使用現有 DeFi 協議的開源代碼來啓動類似的協議 — — 通常是在不同的區塊鏈上或進行微小的更改。

但 Aave 代碼的更改讓黑客得以榨乾 UwU Lend。該協議使用易於操縱的預言機——爲其提供各種代幣價格的軟件。

UwU Lend 的 UWU 代幣在過去一週下跌了 15%，交易價格約爲 2.70 美元。

Aleks Gilbert 是 DL News 的 DeFi 記者。有小貼士嗎？請給他發送電子郵件：aleks@dlnews.com。