Uranium Finance, uma plataforma automatizada de market maker na Binance Smart Chain, relatou um incidente de segurança que resultou em uma perda de cerca de US$50 milhões.
O Uranium revelou que a exploração tinha como alvo seu evento de migração de token v2.1 e que a equipe estava em contato com a equipe de segurança da Binance para mitigar a situação.
(1/2)‼️ Uranium migration has been exploited, the following address has 50m in it The only thing that matters is keeping the funds on BSC, everyone please start tweeting this address to Binance immediately asking them to stop transfers.
— Uranium Finance (@UraniumFinance) April 28, 2021
O hacker supostamente se aproveitou de bugs na lógica do modificador de equilíbrio do Uranium que inflou o equilíbrio do projeto por um fator de 100.
Esse erro teria permitido ao invasor roubar US$50 milhões do projeto. Atualmente, o contrato criado pelo hacker ainda detém US$36,8 milhões em Binance Coin (BNB) e Binance USD (BUSD).
Os fundos roubados restantes incluem 80 Bitcoin (BTC), 1.800 Ether (ETH), 26.500 Polkadot (DOT), 5,7 milhões de Tether (USDT), bem como 638.000 Cardano (ADA) e 112.000 u92, a moeda nativa do projeto.
Detalhes do BscScan mostram o invasor trocando os tokens ADA e DOT por ETH, aumentando o estoque de Ether para cerca de 2.400 ETH.
Enquanto isso, o suposto mentor do roubo já movimentou 2.400 ETH, no valor de cerca de US$5,7 milhões, usando a ferramenta de privacidade Ethereum Tornado Cash.
Dados do serviço Etherscan de monitoramento de cadeia Ethereum mostram os fundos se movendo em somas de 100 ETH, com a ponte da exchange descentralizada da cadeia AnySwap usada para migrar fundos do BSC para a rede Ethereum.
De acordo com o Uranium, o projeto entrou em contato com a equipe de segurança Binance para evitar que o hacker movesse mais fundos para fora do ecossistema BSC.
Um representante do Uranium revelou que o bug ainda não foi corrigido e que os usuários foram aconselhados a parar de fornecer liquidez ao projeto e sacar seus fundos.
A equipe também criou um grupo Telegram para as vítimas do hack, ao mesmo tempo que prometeu fornecer atualizações sobre o progresso feito para recuperar os fundos roubados.
O hack é o segundo ataque ao projeto Uranium em rápida sucessão. No início de abril, os hackers exploraram um dos pools da plataforma, roubando cerca de US$1,3 milhão em BUSD e BNB.
Na verdade, o incidente levou à primeira migração para a v2 há menos de duas semanas. Em um comunicado anterior, a equipe de desenvolvedores do Uranium disse que várias entidades auditaram seus contratos v2 e que aprenderam com seus erros anteriores.
Enquanto isso, há muita especulação sobre se o ataque foi um trabalho interno, dada a repentina decisão de projetar outra atualização de versão apenas 11 dias após a conclusão da migração para a v2.
https://twitter.com/BeTheb0x/status/1387288334649622528
Hacks associados a bugs de contrato inteligente são comuns na arena de finanças descentralizadas, mesmo para projetos totalmente auditados – como foi o caso com MonsterSlayer Finance no início de abril. Em março, o Meerkat, um clone do Yearn.finance no BSC, supostamente “enganou” seus usuários, roubando US$31 milhões no processo.
Dias depois, a equipe de desenvolvedores do projeto revelou que foi um teste ao delinear planos para devolver os fundos. O TurtleDex, outro projeto baseado no BSC, também sofreu uma fraude logo após seu lançamento, drenando mais de 9.000 tokens BNB levantados durante a pré-venda.