Jump to content

Recommended Posts

Posted

proekt_defi_uranium_finance_byl_vzloman_poteri_sostavili_50_mln.jpg

 

Проект децентрализованных финансов Uranium Finance, работающий на Binance Smart Chain, был взломан во время миграции. Хакеры смогли украсть различные токены на $50 млн.

Uranium ― форк децентрализованной биржи Uniswap V2, и сегодня была запланирована миграция на версию протокола 2.1. Что именно произошло во время миграции неизвестно, но на адрес злоумышленников поступило различных токенов на сумму $50 млн. Они получили 80 токенизированных биткоинов ($4.3 млн), 1 800 ETH ($4.7 млн), 17.9 млн BUSD, 5.7 млн USDT, 658 000 токенизированных ADA ($0.8 млн), 26 500 DOT ($0.8 млн) и 34 000 BNB ($18 млн). Также были похищены 112 000 собственных токенов Uranium Finance под названием U92.

 

«Самое важное ― сохранить средства в BSC. Для этого просьба обратиться в Binance с требованием заблокировать транзакции на адресе злоумышленника. Для этого нужно войти в аккаунт на бирже и отправить жалобу, у них есть специальный механизм», ― написали разработчики Uranium Finance Twitter.

 

Судя по всему, хакеры нашли в протоколе ошибку, позволяющую любому желающему взаимодействовать с пулами ликвидности и практически опустошать их.

 

 

Подробнее: https://bits.media/proekt-defi-uranium-finance-byl-vzloman-poteri-sostavili-50-mln/

Posted

Конечно же, виноваты злобные хакеры, а не криворукие разрабы и их заказчики, спешащие урвать прибыли любой ценой. Хренак-хренак, и в продакшн, вот как это называется.

Posted (edited)
1 час назад, iklim сказал:

Конечно же, виноваты злобные хакеры, а не криворукие разрабы и их заказчики, спешащие урвать прибыли любой ценой. Хренак-хренак, и в продакшн, вот как это называется.

 

Похоже, сами разрабы и украли. Там настолько дело тёмное, что просто мрак. Экзит-скам, похоже.


«Binance Smart Chain находится в интересной ситуации, – отмечает команда MyCrypto. – На нем существует множество полноценных проектов, но его не просто так называют “казино шиткоинов”. Uranium Finance зарегистрировали аккаунт в Twitter месяц назад и собрали $50 млн. Серьезно?»

 

Вот адресок этих как бы хакеров: https://bscscan.com/address/0x2b528a28451e9853f51616f3b0f6d82af8bea6ae

Из 50 миллионов $ осталось только 37 лямов, остальное вывели и отмыли через миксеры.

1886433541_.png.870746c1d8f604f317f91deda5c1fd46.png

 

Остались WBNB на 19 лимонов + BUSD еще на 18 лямчиков, видять служба безопасности Binance тормознула вывод этих монеток.

Приморозила их в блокчейне своём Binance Smart Chain.

 

Самое смешное в том, что хакер развернул специальный контракт-эксплоит за сутки до обновления протокола и миграции.

Заранее, понимаете? Заранее знал, какая будет уязвимость.

1761775321_.png.6dd62d020eef18c652924dbcbfcba120.png

 

 

Похоже на то, что разрабы этого чуда реально криворукие. Раскопали исходники,

так они просто форкнули  код SushiSwap и добавили туда ошибку - лично от себя:

 

Вот исходник Sushi:

(оригинальный код из репозитория Sushi, который был исходником форка Uranium:)

1214004080_.png.7096e2cf2282b34e36d7bd655ce7e700.png

 

А вот, что авторы Ураниума наворотили:

630953759_.png.8b183dd82821265f2e832a26794e98b0.png

Видите разницу?

1000 было заменено на 10000 в двух местах, но не в конце, в конце так и осталась 1 тысяча.

Результат? Вы можете обменять 1 WEI входного токена на 98% от общего баланса выходного токена.

 

Аудит контракта, вероятно, не проводился. Никто не проверял его на ошибки.

И вот результат.

 

Исследование кода сделал Kyle "1B TVL" Kistner, он и нашел эту ошибку. Уже после взлома.

 

Edited by Dmitrii Storm

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
  • Similar Topics

    • Биржа Cetus возобновила работу после взлома на $223 млн

      Децентрализованная биржа Cetus, работающая на блокчейне Sui, заявила о возобновлении работы спустя несколько недель после масштабного взлома, в результате которого с платформы было украдено $223 млн. Представители биржи сообщили о восстановлении работоспособности всех функций и частичном возмещении потерь пулов ликвидности после взлома, произошедшего 22 мая. Благодаря валидаторам экосистемы Sui удалось заморозить и вернуть $162 млн.   Оставшиеся средства для восстановления биржи были

      in Новости криптовалют

    • Тайваньская криптобиржа BitoPro подтвердила факт взлома на $11,5 млн

      Тайваньская криптовалютная биржа BitoPro официально подтвердила, что 8 мая подверглась хакерской атаке, в результате которой было похищено $11,5 млн из нескольких горячих кошельков. Несмотря на масштабы эксплойта, BitoPro хранила молчание на публичных каналах и не признавала факт хакерской атаки в течение трех недель. Пользователи платформы, начиная с 9 мая, жаловались на проблемы с выводом средств, особенно стейблкоинов USDT, якобы из-за проведения технических работ на стороне биржи.  

      in Новости криптовалют

    • Cetus Protocol готовит полное возмещение пострадавшим от взлома пользователям

      Крупнейший децентрализованный протокол на блокчейне Sui Cetus Protocol пострадал от взлома 22 мая — злоумышленникам удалось вывести активы на $223 млн. Однако, руководство проекта собирается полностью возместить потери пользователям. Для полного возмещения было запущено голосование в сообществе пользователей Sui, так как Cetus Protocol потребуется кредит от организации Sui Foundation. Разработчики Cetus просят сообщество одобрить такой кредит и обещают «заново создать экосистему Sui DeFi и

      in Новости криптовалют

    • Аналитики Dedaub раскрыли способ взлома биржи Cetus

      Специалисты по кибербезопасности компании Dedaub сообщили, что причиной недавнего взлома децентрализованной биржи Cetus стала уязвимость в системе проверки параметров пулов ликвидности маркетмейкера. Уязвимость не была выявлена вовремя из-за недостаточных мер по проверке инфраструктуры биржи, заявили специалисты Dedaub. Злоумышленники искусственно завысили значения ликвидности, что позволило им создать крупные позиции с минимальными вложениями, а потом вывести средства из пулов.   «Пре

      in Новости криптовалют

    • Global Ledger: Криптоиндустрия понесла рекордные убытки

      Аналитики компании Global Ledger подсчитали, что за январь — март этого года мошенники похитили у криптокомпаний $1,93 млрд, что стало рекордом. Это почти соответствует размеру потерь от атак за весь 2024 год. Контрактные эксплойты остаются главным вектором направления атак хакеров. На них приходится 62,79% случаев, и эти атаки нанесли наибольший финансовый ущерб за три месяца — $1,5 млрд или 77,56% всех потерь в денежном выражении.   На втором месте — скомпрометированные приватные к

      in Новости криптовалют

×
×
  • Create New...