US $ 50 milhões supostamente roubados da Uranium Finance com base no BSC

0 193
Uranium Finance, uma plataforma automatizada de market maker na Binance Smart Chain, relatou um incidente de segurança que resultou em uma perda de cerca de US $ 50 milhões.

Tweetando na quarta-feira, o Uranium revelou que a exploração tinha como alvo seu evento de migração de token v2.1 e que a equipe estava em contato com a equipe de segurança da Binance para mitigar a situação.

O hacker supostamente se aproveitou de bugs na lógica do modificador de equilíbrio do Uranium que inflou o equilíbrio do projeto por um fator de 100.

Esse erro teria permitido que o invasor roubasse US $ 50 milhões do projeto. No momento da redação deste artigo, o contrato criado pelo hacker ainda detém US $ 36,8 milhões em Binance Coin (BNB) e Binance USD (BUSD).

Os fundos roubados restantes incluem 80 Bitcoin (BTC), 1.800 Ether (ETH), 26.500 Polkadot (DOT), 5,7 milhões de Tether (USDT), bem como 638.000 Cardano (ADA) e 112.000 u92, a moeda nativa do projeto.

Detalhes do BscScan mostram o invasor trocando os tokens ADA e DOT por ETH, aumentando o estoque de Ether para cerca de 2.400 ETH.

Enquanto isso, o suposto mentor do roubo já movimentou 2.400 ETH, no valor de cerca de US $ 5,7 milhões, usando a ferramenta de privacidade Ethereum Tornado Cash.

Os dados do serviço Etherscan de monitoramento da cadeia Ethereum mostram os fundos se movendo em somas de 100 ETH, com a ponte de câmbio descentralizada da cadeia cruzada AnySwap usada para migrar fundos do BSC para a rede Ethereum.

Fonte: Etherscan

De acordo com o Uranium, o projeto entrou em contato com a equipe de segurança da Binance para evitar que o hacker movesse mais fundos para fora do ecossistema BSC.

Binance não respondeu imediatamente ao pedido da Cointelegraph para comentar o assunto. Um porta-voz do Uranium revelou que o bug ainda não foi corrigido e que os usuários foram aconselhados a parar de fornecer liquidez ao projeto e sacar seus fundos.

A equipe também criou um grupo Telegram para as vítimas do hack, ao mesmo tempo que prometeu fornecer atualizações sobre o progresso que está sendo feito para recuperar os fundos roubados.

O hack de quarta-feira é o segundo ataque ao projeto Uranium em rápida sucessão. No início de abril, os hackers exploraram um dos pools da plataforma, roubando cerca de US $ 1,3 milhão em BUSD e BNB.

Na verdade, o incidente levou à primeira migração para a v2 há menos de duas semanas. Em um anúncio anterior, a equipe de desenvolvedores do Uranium disse que várias entidades auditaram seus contratos v2 e que aprenderam com seus erros anteriores.

Enquanto isso, há muitas especulações sobre se o ataque foi um trabalho interno, dada a repentina decisão de projetar outra atualização de versão apenas 11 dias após a conclusão da migração para a v2.

Hacks associados a bugs de contrato inteligente são comuns na arena de finanças descentralizadas, mesmo para projetos totalmente auditados – como foi o caso com MonsterSlayer Finance no início de abril. Em março, o Meerkat, um clone do Yearn.finance no BSC, supostamente “enganou” seus usuários, roubando US $ 31 milhões no processo.

Dias depois, a equipe de desenvolvedores do projeto revelou que o suposto “tapete puxado” era um teste enquanto traçava planos para devolver os fundos. O TurtleDex, outro projeto baseado no BSC, também sofreu uma fraude logo após seu lançamento, drenando mais de 9.000 tokens BNB levantados durante a pré-venda.