Среди украденных активов оказались Wrapped Bitcoin (wBTC) и стейблкоины DAI. Неизвестный выполнил три транзакции за шесть минут, успев вывести монеты из пулов и конвертировать украденные средства в эфиры.
Технический директор и сооснователь Cyvers Меир Долев (Meir Dolev) сообщил, что его команда все еще расследует инцидент. Выяснилось, что два дня назад злоумышленник получил финансирование через сервис микширования криптовалют Tornado Cash.
ALERTOur system has detected a series of suspicious transactions involving @UwU_Lend!
— Cyvers Alerts (@CyversAlerts) June 10, 2024
Attacker has executed 3 transactions and was able to get around $19.5M. But hack is still ongoing! Amount might increase. Right now attacker is swapping stolen digital assets to $ETH.… https://t.co/8cAB2NWwKV pic.twitter.com/V2RrqYagD2
Гендиректор занимающейся ангализом блокчейнов компании Merkle Science Мриганка Паттнаик (Mriganka Pattnaik) пояснил: злоумышленники стремятся найти легкие цели, и это становится причиной роста количества эксплойтов. Несмотря на то что в смарт-контрактах часто встречаются уязвимости, хакеры все чаще нацеливаются на активы за пределами смарт-контрактов, используя утечки данных с закрытыми ключами. Эти утечки часто возникают в результате фишинговых атак или при небезопасных методах хранения, объяснил Мриганка Паттнаик.
Протокол UwU Lend был запущен в сентябре 2022 года сооснователем обанкротившейся канадской криптобиржи QuadrigaCX Майклом Патрином (Michael Patryn). Причем основатель этого протокола уже дважды менял свое имя.