Uranium Finance присоединяется к растущему списку взломанных проектов в сети Binance Smart Chain.
Uranium Finance, автоматизированная платформа маркет-мейкера в Binance Smart Chain, сообщила об инциденте с безопасностью, который привел к потере около 50 миллионов долларов.
В Твиттере в среду Uranium сообщил, что эксплойт был нацелен на миграцию токена v2.1 и что команда связалась с командой безопасности Binance, чтобы смягчить ситуацию.
(1/2)‼️ Uranium migration has been exploited, the following address has 50m in it The only thing that matters is keeping the funds on BSC, everyone please start tweeting this address to Binance immediately asking them to stop transfers.
— Uranium Finance (@UraniumFinance) April 28, 2021
Сообщается, что хакер воспользовался ошибками в логике модификатора баланса Uranium, которые увеличили баланс проекта в 100 раз.
Сообщается, что эта ошибка позволила злоумышленнику украсть у проекта 50 миллионов долларов. На момент написания в контракте, созданном хакером, все еще содержится 36,8 миллиона долларов в Binance Coin (BNB) и Binance USD (BUSD).
Остальные украденные средства включают 80 биткойнов (BTC), 1800 эфиров (ETH), 26 500 Polkadot (DOT), 5,7 миллиона Tether ( USDT ), а также 638 000 Cardano ( ADA ) и 112 000 u92, собственную монету проекта.
Подробности из BscScan показывают, что злоумышленник обменивает токены ADA и DOT на ETH, увеличивая объем эфира примерно до 2400 ETH.
Между тем предполагаемый организатор кражи уже перевел 2400 ETH на сумму около 5,7 миллиона долларов с помощью инструмента обеспечения конфиденциальности Ethereum, Tornado Cash.
Данные службы мониторинга цепочки Ethereum Etherscan показывают, что средства перемещаются в суммах 100 ETH, а межсетевой децентрализованный обменный мост AnySwap используется для миграции средств из BSC в сеть Ethereum.
Согласно Uranium, проект обратился к команде безопасности Binance, чтобы помешать хакеру вывести больше средств из экосистемы BSC.
Представитель Uranium сообщил, что ошибка еще не исправлена и пользователям посоветовали прекратить предоставлять ликвидность по проекту и обналичить свои средства.
Команда также создала группу Telegram для жертв взлома, пообещав предоставлять обновленную информацию о ходе восстановления украденных средств.
Взлом в среду — это вторая атака на проект Uranium в быстрой последовательности. Ранее в апреле хакеры взломали один из пулов платформы и украли BUSD и BNB на сумму около 1,3 миллиона долларов.
Действительно, инцидент привел к первой миграции на v2 менее двух недель назад. В предыдущем объявлении команда разработчиков Uranium сообщила, что несколько организаций проверили ее контракты v2 и извлекли уроки из своих предыдущих ошибок.
Между тем, ходят слухи о том, была ли атака внутренней работой, учитывая внезапное решение разработать еще одно обновление версии всего через 11 дней после завершения миграции на v2.
Today @UraniumFinance got rekt. The Uranium devs had just deployed v2 of their contracts, and 11 days later they asked everyone to migrate to v2.1. Pretty odd timing for an upgrade, right?
Here's how the bug worked. 🧵⬇️
— Kyle "1B TVL" Kistner | Fulcrum | bZx (@BeTheb0x) April 28, 2021
Взломы, связанные с ошибками смарт-контрактов, являются обычным явлением на арене децентрализованного финансирования даже для полностью проверенных проектов — как это было в случае с MonsterSlayer Finance ранее в апреле. Еще в марте Meerkat, клон Yearn.finance на BSC, как сообщается, «обманывал» своих пользователей, украв при этом 31 миллион долларов.
Несколько дней спустя команда разработчиков проекта показала, что предполагаемое «вытаскивание коврика» было испытанием, в то же время обрисовывая планы по возврату средств. TurtleDex, еще один проект, основанный на BSC, также подвергся мошенничеству с выходом вскоре после его запуска, потратив более 9000 токенов BNB, собранных во время предварительной продажи.