Убытки от взлома проекта DeFi Uranium Finance составили $50 млн

[News Bot]

 

Проект децентрализованных финансов Uranium Finance, работающий на Binance Smart Chain, был взломан во время миграции. Хакеры смогли украсть различные токены на $50 млн.

Uranium ― форк децентрализованной биржи Uniswap V2, и сегодня была запланирована миграция на версию протокола 2.1. Что именно произошло во время миграции неизвестно, но на адрес злоумышленников поступило различных токенов на сумму $50 млн. Они получили 80 токенизированных биткоинов ($4.3 млн), 1 800 ETH ($4.7 млн), 17.9 млн BUSD, 5.7 млн USDT, 658 000 токенизированных ADA ($0.8 млн), 26 500 DOT ($0.8 млн) и 34 000 BNB ($18 млн). Также были похищены 112 000 собственных токенов Uranium Finance под названием U92.

 

«Самое важное ― сохранить средства в BSC. Для этого просьба обратиться в Binance с требованием заблокировать транзакции на адресе злоумышленника. Для этого нужно войти в аккаунт на бирже и отправить жалобу, у них есть специальный механизм», ― написали разработчики Uranium Finance Twitter.

 

Судя по всему, хакеры нашли в протоколе ошибку, позволяющую любому желающему взаимодействовать с пулами ликвидности и практически опустошать их.

 

 

Подробнее: https://bits.media/proekt-defi-uranium-finance-byl-vzloman-poteri-sostavili-50-mln/

[iklim]

Конечно же, виноваты злобные хакеры, а не криворукие разрабы и их заказчики, спешащие урвать прибыли любой ценой. Хренак-хренак, и в продакшн, вот как это называется.

[Dmitrii Storm]

1 час назад, iklim сказал:

Конечно же, виноваты злобные хакеры, а не криворукие разрабы и их заказчики, спешащие урвать прибыли любой ценой. Хренак-хренак, и в продакшн, вот как это называется.

 

Похоже, сами разрабы и украли. Там настолько дело тёмное, что просто мрак. Экзит-скам, похоже.

«Binance Smart Chain находится в интересной ситуации, – отмечает команда MyCrypto. – На нем существует множество полноценных проектов, но его не просто так называют “казино шиткоинов”. Uranium Finance зарегистрировали аккаунт в Twitter месяц назад и собрали $50 млн. Серьезно?»

 

Вот адресок этих как бы хакеров: https://bscscan.com/address/0x2b528a28451e9853f51616f3b0f6d82af8bea6ae

Из 50 миллионов $ осталось только 37 лямов, остальное вывели и отмыли через миксеры.

 

Остались WBNB на 19 лимонов + BUSD еще на 18 лямчиков, видять служба безопасности Binance тормознула вывод этих монеток.

Приморозила их в блокчейне своём Binance Smart Chain.

 

Самое смешное в том, что хакер развернул специальный контракт-эксплоит за сутки до обновления протокола и миграции.

Заранее, понимаете? Заранее знал, какая будет уязвимость.

 

 

Похоже на то, что разрабы этого чуда реально криворукие. Раскопали исходники,

так они просто форкнули  код SushiSwap и добавили туда ошибку - лично от себя:

 

Вот исходник Sushi:

(оригинальный код из репозитория Sushi, который был исходником форка Uranium:)

 

А вот, что авторы Ураниума наворотили:

Видите разницу?

1000 было заменено на 10000 в двух местах, но не в конце, в конце так и осталась 1 тысяча.

Результат? Вы можете обменять 1 WEI входного токена на 98% от общего баланса выходного токена.

 

Аудит контракта, вероятно, не проводился. Никто не проверял его на ошибки.

И вот результат.

 

Исследование кода сделал Kyle "1B TVL" Kistner, он и нашел эту ошибку. Уже после взлома.

 

Изменено 28 апр 2021, 15:12 пользователем Dmitrii Storm