Uranium Finance, автоматизированная платформа маркет-мейкера в Binance Smart Chain, сообщила об инциденте с безопасностью, который привел к потере около 50 миллионов долларов.
В своем твиттере в среду Uranium сообщил, что эксплойт был нацелен на миграцию токена v2.1 и что команда связалась с командой безопасности Binance, чтобы смягчить ситуацию.
(1/2)‼ ️ Миграция урана была использована, в следующем адресе 50 млн. Единственное, что имеет значение, – это удержание средств на BSC, все, пожалуйста, начните писать этот адрес в Твиттере на Binance, немедленно прося их прекратить переводы.
— Uranium Finance (@UraniumFinance) April 28, 2021
Сообщается, что хакер воспользовался ошибками в логике модификатора баланса Uranium, которые увеличили баланс проекта в 100 раз.
Сообщается, что эта ошибка позволила злоумышленнику украсть у проекта 50 миллионов долларов.На момент написания в контракте, созданном хакером, все еще содержится 36,8 миллиона долларов в Binance Coin (BNB) и Binance Dollar (BUSD).
Остальные украденные средства включают 80 Биткоин (BTC), 1800 эфиров (ETH), 26 500 Polkadot (DOT) и 5,7 миллиона Tether (USDT), а также 638 000 Cardano (ADA) и 112 000 u92, собственную монету проекта.
Подробности из BSCscan показывают, что злоумышленник обменивает токены ADA и DOT на ETH, увеличивая объем эфира примерно до 2400 ETH.
Между тем предполагаемый организатор кражи уже перевел 2400 ETH на сумму около 5,7 миллиона долларов с помощью инструмента обеспечения конфиденциальности Ethereum Tornado Cash.
Данные службы мониторинга цепочки Ethereum Etherscan показывают, что средства перемещаются в суммах 100 ETH с помощью межсетевого децентрализованного обменного моста AnySwap, используемого для миграции средств из BSC в сеть Ethereum.
Согласно Uranium, проект обратился к команде Binance Security, чтобы помешать хакеру вывести больше средств из экосистемы BSC.
Binance не сразу ответит на запрос Cointelegraph о комментарии.В Uranium от комментариев отказались.
Взлом в среду – это вторая атака на проект Uranium в быстрой последовательности.Ранее в апреле хакеры взломали один из пулов платформы, похитив BUSD и BNB на сумму около 1,3 миллиона долларов.
Действительно, инцидент привел к первой миграции на v2 менее двух недель назад.В предыдущем объявлении команда разработчиков Uranium сообщила, что несколько организаций провели аудит контрактов на v2 и извлекли уроки из своих предыдущих ошибок.
Между тем, ходят слухи о том, была ли атака внутренней работой, учитывая внезапное решение разработать еще одну версию обновления всего через 11 дней после завершения миграции на v2.
Сегодня @UraniumFinance получил рект.Разработчики Uranium только что развернули v2 своих контрактов и 11 дней спустя попросили всех перейти на v2.1.Довольно странное время для обновления, правда?Вот как сработала ошибка.⬇️
— Kyle "1B TVL" Kistner | Fulcrum | bZx (@BeTheb0x) April 28, 2021
Взломы, связанные с ошибками смарт-контрактов, являются обычным явлением на арене децентрализованного финансирования даже для полностью проверенных проектов, как это было в случае с MonsterSlayer Finance ранее в апреле.Еще в марте Meerkat, клон Yearn Finance на BSC, как сообщалось, «обманывал» своих пользователей, украв при этом 31 миллион долларов.
Несколько дней спустя команда разработчиков проекта показала, что предполагаемое «вытаскивание коврика» было проверкой при изложении планов по возврату средств.TurtleDex, еще один проект, основанный на BSC, также подвергся мошенничеству с выходом вскоре после запуска, опустошив более 9000 токенов BNB, собранных во время предварительной продажи.
