50 millió értékben loptak el coinokat az Uranium Finance protokollból

Az Uranium Finance, egy Binance Smart Chain alapú DeFi projekt sajtóközleményt adott ki azzal kapcsolatban, hogy szerda kora reggel hackertámadás érte őket, és 50 millió dollár értékű tokent loptak el tőlük. Sokfajta coint, közte bitcoint és ethert is meglovasítottak az Uranium protokollból a sajtóértesülések szerint.

A leltár még nem végleges, de az biztos, hogy a támadók ezeket már megkaparintották: 80 Bitcoin ($4.3 millió), 1,800 ETH ($4.7 millió), 17.9 millió BUSD ($17.9 millió), 5.7 millió USDT ($5.7 millió), 638,000 ADA ($0.8 millió )26,500 DOT ($0.8 millió), 34,000 wrapped BNB ($18 millió), és 112,000 U92 token, az Uranium natív tokenje.

Az Uranium projekt a hónap elején indult. Elmondásuk szerint a támadás akkor történt, mikor a protokollt migrálták a legújabb 1.2-es verzióra.

Az Uranium amúgy egy automata market maker (AMM) protokoll. Az Uniswap V2 forkolásával jött létre abból a célból, hogy felhasználóinak naponta tudjon jutalékot kiosztani.

A pool-jainkban és farmjainkban U92 tokenekkel jutalmazunk mint minden más DEX tőzsde. Az a fő különbség, hogy készítettünk egy másodlagos tokent, az U235-öt, ami a U92-token ellenpárja. Ha megtartod ezeket a tokeneket a tárcádban, akkor a mi AMM protokollunkban befektetővé válsz, aminek következtében BNB és BUSD osztalékban részesült minden egyes blokk után,” magyarázza az Uranium bemutatkozó weboldala.

Eddig még nem világos, hogy mi ment ennyire félre a migráció során, de a szakértők egy hibára gyanakodnak. Ennek következtében bárki ki tudta használni ezt a hibát úgy, hogy interakciót indított egy okos szerződésen keresztül, és ezáltal ki tudta venni az összes tokent. Ez miatt a támadók ki tudták használni az Uranium swap funkcióját arra, hogy megcsapolják az egyenleget.

Hogy folyt ki a pénz?

Az elemzések szerint körülbelül 6.4 millió dollárnyi, azaz 2438 ETH-t vontak ki a Tornado Cash-en keresztül. A Tornado Cash egy Ethereum mixer szolgáltató, és nagyon népszerű a felhasználók körében.

A támadó először swappolta a DOT és ADA tokeneket ETH-re a Binance Smart Chain alapú decentralizált tőzsdén, a PancakeSwap-en keresztül. Aztán swappolták az ETH BSC verzióját az ETH Ethereum verzióra az Anyswap-en keresztül. A 80 Bitcoint szintén az Anyswap-en keresztül tüntették el.

A szakértők gyanúja szerint ez egy “bennfentes munka” is lehetett. Mivel néhányan tudtak róla, hogy az Uranium V1.2 verzióban megvan ez a hiba, és a csapat nem végzett a migráció előtt biztonsági teszteket.

Mindeközben törölték az Uranium szerződéseket is a Github tárhelyről ismeretlen okok miatt.