Пользователи DeFi-протокола Uranium Finance потеряли $50 млн в результате атаки хакера

Хакер уже перемещает и выводит активы из блокчейна Binance Smart Chane, на котором работает протокол.

Проект из сферы децентрализованных финансов (DeFi) Uranium Finance подвергся хакерской атаке, в результате которой пользователи потеряли $50 млн. Как сообщает команда проекта, злоумышленник использовал уязвимость, которая возникла при миграции активов поставщиков ликвидности на новую версию протокола.

Читайте Bloomchain через любимые соцсети: Telegram, VKFB

Uranium Finance — это созданный на базе Uniswap V2 протокол автоматизированного маркетмейкинга (AMM), который, по утверждению разработчиков, приносит ежедневные дивиденды своим пользователям. Протокол работает на блокчейне Binance Smart Chain (BSC).

Поставщики ликвидности Uranium получают вознаграждение в виде токена U92, однако в протоколе обращается и другой токен — U235. Держатели последнего становятся инвесторами протокола, что позволяет им получать дивиденды в BNB и BUSD за каждый созданный блок. 

В среду, 28 апреля, разработчики планировали провести миграцию активов поставщиков ликвидности на новую версию протокола, которая позволит реализовать дополнительные возможности. В процессе миграции возникла уязвимость, которая позволила хакеру получить доступ к активам пользователей.

Читайте также: В 2020 году хакеры вывели из DeFi-протоколов практически $100 млн

Сооснователь DeFi-платформы bzx Кайл Кистнер рассказал на своей странице в Twitter, что нашел в коде нового протокола Uranium ошибку, которая позволяет обменять 1 wei (наименьшая и неделимая частица Ethereum) входящего токена на 98% от общего баланса исходящего токена. Кистнер не исключает, что эксплойт могли использовать сразу несколько человек.

По данным The Block, из пулов Uranium вывели 80 BTC, 1 800 ETH, 17,9 млн BUSD, 5,7 млн USDT, 638 000 ADA, 26 500 DOT, 34 000 WBNB и 112 000 U92. Общая стоимость активов оценивается в $50 млн. Разработчики Uranium сообщили, что все токены были перемещены на адрес, который в настоящее время содержит только BUSD и WBNB совокупной стоимостью $37,24 млн.

The Block также сообщает, что злоумышленник уже начал перемещать и выводить средства. Порядка 2 438 ETH ($6,4 млн) были выведены через миксер Tornado Cash. Хакер сначала обменивал ADA и DOT на ETH через децентрализованную биржу PancakeSwap, которая базируется на BSC. Затем он вывел ETH из BSC, использовав AnySwap — протокол обмена, который позволяет переводить активы между блокчейнами. Все 80 BTC также были выведены с использованием AnySwap.

Разработчики Uranium Finance пытаются удержать украденные средства на BSC. Они попросили пользователей, у которых есть аккаунт на Binance, сообщить бирже о краже через внутренний механизм репортов. Команда проекта также связалась со службой безопасности Binance.

← Назад Поделиться:

Рекомендации

Хакеры второй раз за месяц взломали DeFi-протокол Thorchain

Евгения Лиходей2 мин
Хакеры вывели из DeFi-протокола Thorchain Ethereum почти на $7,5 млн

В сети также появилась информация о том, что потери проекта могут быть значительно выше.

Евгения Лиходей3 мин

Разработчиков DeFi-протокола Meerkat Finance подозревают в экзит-скаме

Неизвестный вывел из пулов проекта 13 млн BUSD и 73 тыс. BNB. Аккаунты Meerkat в социальных сетях были удалены, а его сайт сейчас недоступен.

Aртем Галунoв2 мин

Хакер атаковал проект Akropolis и вывел из его пула $2 млн в стейблкоинах DAI

Ранее Akropolis прошел два независимых технических аудита — ни одна из проверок не выявила векторы атаки, которые использовались при взломе.

Aртем Галунoв2 мин

Несколько проектов на Binance Smart Chain подверглись фишинговым атакам

Чанпэн Чжао уточнил, что речь идет о фишинговых атаках на системы доменных имен (DNS)

Артём Солодков2 мин

Хакер похитил $25 млн из DeFi-протокола Harvest Finance — токен обвалился на 50%

Разработчики заявили, что располагают значительным объемом информации о преступнике. По их словам, это хакер, который хорошо известен в криптосообществе.

Aртем Галунoв4 мин