Хасан Шитту

Останнє оновлення:

11 червня 2024 року 10:31 за східноамериканським часом | 3 хв читання

Uwu Lend, протокол позичання, заснований колишнім CFO Frog Nation Sifu, зазнав збитків у розмірі 19,4 мільйони доларів США через атаку маніпуляції оракулом.

Кіберзлочинці спочатку виявили вразливість, розкривши складну послідовність з трьох транзакцій, які були здійснені протягом шести хвилин. Після отримання коштів з Tornado Cash зловмисники конвертували вкрадені Wrapped Bitcoin (WBTC) та Dai (DAI) в Ether (ETH).

UwU Lend постраждав від маніпуляційної атаки оракула на 20 мільйонів доларів, засновник пропонує угоду Хакер

🚨🚨Привіт @UwU_Lend, вас атакують!

Досі адреса отримала близько $14M

Більше оновлень буде підписатися!

Будь ласка, зв'яжіться з нами, щоб дізнатися, як захистити свої цифрові активи! #Cyvers pic.twitter.com/IND77hbTbH

— 🚨 Cyvers s 🚨 (@Cyverss) 10 червня 2024 року

У понеділок, 10 червня, протокол децентралізованої фінансової (DeFi) UwU Lend був взломаний на майже $20 мільйонів у процесі криптовалютної атаки. Інцидент спочатку був виявлений фірмою з безпеки блокчейнів Cyvers, яка повідомила спільноту про це в пості на соціальній медіа платформі X:

«Привіт @UwU_Lend, вас атакують! До цього часу адреса отримала приблизно $14M...»

За даними Cyvers, UwU Lend, який функціонує як ринок ліквідності, дозволяючи користувачам вносити та позичати цифрові активи, був атакований через складну серію транзакцій. Експлойт швидко ескалювався і вже протягом години після початкового нападу вкрадено понад 20 мільйонів доларів.

Атака, яка була фінансована через протокол змішування криптовалюти Tornado Cash, була виконана з неймовірною швидкістю та точністю. Хакер здійснив три зловмисні транзакції всього за шість хвилин, розграбувавши приблизно 20 мільйонів доларів. Кіберзлочинці повідомили, що фінансування для атаки було отримано від Tornado Cash за два дні до використання вразливості.

Взлом @UwU_Lend сегодня привел к убыткам в $19.4 млн.

Кореневою причиною є проблема оракула ціни. Зокрема, актив sUSDe цінується як медіана з кількох джерел. П'ять з них, тобто FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD та GHOUSDe, були під час вимагання зламані.

Вкрадене... pic.twitter.com/xuGGegfDpV

— PeckShield Inc. (@peckshield) 10 Червня, 2024

Згідно з Peckshield, кореневою причиною була проблема цінового оракулу, пов'язана з активом sUSDe, ціна на який встановлюється на основі медіани з кількох джерел. Атакувальник маніпулював п'ятьма джерелами під час взлому, спричинивши використання уразливості.

Вчора UwU Lend був ціллю складного атаки. Команда діяла швидко і протокол був зупинений за кілька хвилин. Ставки для позик і депозитів були встановлені на 0%, тому позиції користувачів не постраждали від цієї паузи.

— UwU Lend (@UwU_Lend) 11 Червня, 2024

У відповідь на атаку UwU Lend швидко призупинив свій протокол, щоб запобігти подальшим збиткам і встановив ставки на позики та депозит на рівні 0% для захисту позицій користувачів. Команда опублікувала заяву на своїй сторінці X, пояснюючи свої негайні дії і триваюче розслідування:

“Ми зробили пропозицію хакеру й очікуємо відповіді. Протокол залишиться призупиненим, поки розслідування не буде завершено. Дякуємо за вашу терплячість у цей час.”

UwU CEO запропонував хакеру Джерело: Etherscan Майкл Патрин, також відомий як 0xSifu, засновник UwU Lend, запропонував хакеру угоду повернути близько 16 мільйонів доларів у криптовалюті в обмін на відмову від можливих звинувачень. Він заявив у повідомленні на блокчейні:

«Ми пропонуємо винагороду у 20% від суми викрадених коштів білому хетеру. Ви не будете мати ризику з нашого боку щодо подальшого переслідування, а також не будете мати проблем з правоохоронними органами».

Після закінчення крайнього терміну винагорода буде запропонована всім, хто зможе викрити та допомогти притягнути зловмисника до відповідальності. Тим часом інший особа відправила у блокчейні повідомлення хакеру з інструкціями, як пересунути кошти без ризику потрапити, додавши ще один рівень складності до ситуації.

Скрадені активи, які включають значні суми WETH, WBTC, bLUSD, crvUSD, sDAI, CRV, DAI, USDT та sUSDe, наразі знаходяться на двох адресах. Загальна оцінка збитків становить приблизно 23 мільйони доларів.

Криптохакери готові перевершити 2023 рік рекордними крадіжками в 2024 році

UwU Lend, який працює як ринок ліквідності, дозволяючи користувачам поповнювати та позичати цифрові активи, забезпечив користувачів тим, що хакерська атака не вплинула на більшість поповнених активів, включаючи SIFU, VOLTA, FRAX та кілька інших ринків.

Перевірка UwuLend компанією Peckshield раніше характеризувала код як «добре спроектований та розроблений», при цьому виявлено «жодних високо серйозних або критичних проблем».

Крипто хакери, можливо, на шляху до перевищення 2023 року щодо вкрадених цифрових активів. У першому кварталі 2024 року хакери вкрали цифрові активи на суму $542.7 мільйона, що на 42% більше, ніж у той самий період 2023 року.

Зростання кількості викрадених коштів можна пояснити зростанням оцінки криптовалют, що залучає все більше зловмисників з початку 2024 року. Якщо вартість цифрових активів зростає, зростає і заохочення для хакерів експлуатувати вразливості в криптосередовищі.

Підписуйтесь на нас в Google News