Пользователи DeFi-протокола Uranium Finance потеряли $50 млн в результате атаки хакера

Хакер уже перемещает и выводит активы из блокчейна Binance Smart Chane, на котором работает протокол.

Проект из сферы децентрализованных финансов (DeFi) Uranium Finance подвергся хакерской атаке, в результате которой пользователи потеряли $50 млн. Как сообщает команда проекта, злоумышленник использовал уязвимость, которая возникла при миграции активов поставщиков ликвидности на новую версию протокола.

Читайте Bloomchain через любимые соцсети: Telegram, VKFB

Uranium Finance — это созданный на базе Uniswap V2 протокол автоматизированного маркетмейкинга (AMM), который, по утверждению разработчиков, приносит ежедневные дивиденды своим пользователям. Протокол работает на блокчейне Binance Smart Chain (BSC).

Поставщики ликвидности Uranium получают вознаграждение в виде токена U92, однако в протоколе обращается и другой токен — U235. Держатели последнего становятся инвесторами протокола, что позволяет им получать дивиденды в BNB и BUSD за каждый созданный блок. 

В среду, 28 апреля, разработчики планировали провести миграцию активов поставщиков ликвидности на новую версию протокола, которая позволит реализовать дополнительные возможности. В процессе миграции возникла уязвимость, которая позволила хакеру получить доступ к активам пользователей.

Читайте также: В 2020 году хакеры вывели из DeFi-протоколов практически $100 млн

Сооснователь DeFi-платформы bzx Кайл Кистнер рассказал на своей странице в Twitter, что нашел в коде нового протокола Uranium ошибку, которая позволяет обменять 1 wei (наименьшая и неделимая частица Ethereum) входящего токена на 98% от общего баланса исходящего токена. Кистнер не исключает, что эксплойт могли использовать сразу несколько человек.

По данным The Block, из пулов Uranium вывели 80 BTC, 1 800 ETH, 17,9 млн BUSD, 5,7 млн USDT, 638 000 ADA, 26 500 DOT, 34 000 WBNB и 112 000 U92. Общая стоимость активов оценивается в $50 млн. Разработчики Uranium сообщили, что все токены были перемещены на адрес, который в настоящее время содержит только BUSD и WBNB совокупной стоимостью $37,24 млн.

The Block также сообщает, что злоумышленник уже начал перемещать и выводить средства. Порядка 2 438 ETH ($6,4 млн) были выведены через миксер Tornado Cash. Хакер сначала обменивал ADA и DOT на ETH через децентрализованную биржу PancakeSwap, которая базируется на BSC. Затем он вывел ETH из BSC, использовав AnySwap — протокол обмена, который позволяет переводить активы между блокчейнами. Все 80 BTC также были выведены с использованием AnySwap.

Разработчики Uranium Finance пытаются удержать украденные средства на BSC. Они попросили пользователей, у которых есть аккаунт на Binance, сообщить бирже о краже через внутренний механизм репортов. Команда проекта также связалась со службой безопасности Binance.

← Назад Поделиться:

Рекомендации

Несколько проектов на Binance Smart Chain подверглись фишинговым атакам

Артём Солодков2 мин

Хакер похитил $25 млн из DeFi-протокола Harvest Finance — токен обвалился на 50%

Разработчики заявили, что располагают значительным объемом информации о преступнике. По их словам, это хакер, который хорошо известен в криптосообществе.

Aртем Галунoв4 мин

Хакеры SushiSwap «заработали» $15 тыс. и благодарность разработчиков проекта

Представители стартапа обратили внимание на то, что прорыв системы безопасности помог сделать проект сильнее.

Евгения Лиходей2 мин

Хакеры вывели из пула DeFi-протокола Pickle Finance практически $20 млн в токенах DAI

Команда проекта заявила, что речь идет о сложной и комплексной атаке, в ходе которой не использовались флэш-кредиты.

Aртем Галунoв2 мин

Разработчиков DeFi-протокола Meerkat Finance подозревают в экзит-скаме

Неизвестный вывел из пулов проекта 13 млн BUSD и 73 тыс. BNB. Аккаунты Meerkat в социальных сетях были удалены, а его сайт сейчас недоступен.

Aртем Галунoв2 мин