bloomchain.ru
Хакер уже перемещает и выводит активы из блокчейна Binance Smart Chane, на котором работает протокол.
Проект из сферы децентрализованных финансов (DeFi) Uranium Finance подвергся хакерской атаке, в результате которой пользователи потеряли $50 млн. Как сообщает команда проекта, злоумышленник использовал уязвимость, которая возникла при миграции активов поставщиков ликвидности на новую версию протокола.
Uranium Finance — это созданный на базе Uniswap V2 протокол автоматизированного маркетмейкинга (AMM), который, по утверждению разработчиков, приносит ежедневные дивиденды своим пользователям. Протокол работает на блокчейне Binance Smart Chain (BSC).
Поставщики ликвидности Uranium получают вознаграждение в виде токена U92, однако в протоколе обращается и другой токен — U235. Держатели последнего становятся инвесторами протокола, что позволяет им получать дивиденды в BNB и BUSD за каждый созданный блок.
В среду, 28 апреля, разработчики планировали провести миграцию активов поставщиков ликвидности на новую версию протокола, которая позволит реализовать дополнительные возможности. В процессе миграции возникла уязвимость, которая позволила хакеру получить доступ к активам пользователей.
Сооснователь DeFi-платформы bzx Кайл Кистнер рассказал на своей странице в Twitter, что нашел в коде нового протокола Uranium ошибку, которая позволяет обменять 1 wei (наименьшая и неделимая частица Ethereum) входящего токена на 98% от общего баланса исходящего токена. Кистнер не исключает, что эксплойт могли использовать сразу несколько человек.
По данным The Block, из пулов Uranium вывели 80 BTC, 1 800 ETH, 17,9 млн BUSD, 5,7 млн USDT, 638 000 ADA, 26 500 DOT, 34 000 WBNB и 112 000 U92. Общая стоимость активов оценивается в $50 млн. Разработчики Uranium сообщили, что все токены были перемещены на адрес, который в настоящее время содержит только BUSD и WBNB совокупной стоимостью $37,24 млн.
The Block также сообщает, что злоумышленник уже начал перемещать и выводить средства. Порядка 2 438 ETH ($6,4 млн) были выведены через миксер Tornado Cash. Хакер сначала обменивал ADA и DOT на ETH через децентрализованную биржу PancakeSwap, которая базируется на BSC. Затем он вывел ETH из BSC, использовав AnySwap — протокол обмена, который позволяет переводить активы между блокчейнами. Все 80 BTC также были выведены с использованием AnySwap.
Разработчики Uranium Finance пытаются удержать украденные средства на BSC. Они попросили пользователей, у которых есть аккаунт на Binance, сообщить бирже о краже через внутренний механизм репортов. Команда проекта также связалась со службой безопасности Binance.