Jump to content

Убытки от взлома проекта DeFi Uranium Finance составили $50 млн


 Share

Recommended Posts

proekt_defi_uranium_finance_byl_vzloman_poteri_sostavili_50_mln.jpg

 

Проект децентрализованных финансов Uranium Finance, работающий на Binance Smart Chain, был взломан во время миграции. Хакеры смогли украсть различные токены на $50 млн.

Uranium ― форк децентрализованной биржи Uniswap V2, и сегодня была запланирована миграция на версию протокола 2.1. Что именно произошло во время миграции неизвестно, но на адрес злоумышленников поступило различных токенов на сумму $50 млн. Они получили 80 токенизированных биткоинов ($4.3 млн), 1 800 ETH ($4.7 млн), 17.9 млн BUSD, 5.7 млн USDT, 658 000 токенизированных ADA ($0.8 млн), 26 500 DOT ($0.8 млн) и 34 000 BNB ($18 млн). Также были похищены 112 000 собственных токенов Uranium Finance под названием U92.

 

«Самое важное ― сохранить средства в BSC. Для этого просьба обратиться в Binance с требованием заблокировать транзакции на адресе злоумышленника. Для этого нужно войти в аккаунт на бирже и отправить жалобу, у них есть специальный механизм», ― написали разработчики Uranium Finance Twitter.

 

Судя по всему, хакеры нашли в протоколе ошибку, позволяющую любому желающему взаимодействовать с пулами ликвидности и практически опустошать их.

 

 

Подробнее: https://bits.media/proekt-defi-uranium-finance-byl-vzloman-poteri-sostavili-50-mln/

Link to comment
Share on other sites

Конечно же, виноваты злобные хакеры, а не криворукие разрабы и их заказчики, спешащие урвать прибыли любой ценой. Хренак-хренак, и в продакшн, вот как это называется.

Link to comment
Share on other sites

1 час назад, iklim сказал:

Конечно же, виноваты злобные хакеры, а не криворукие разрабы и их заказчики, спешащие урвать прибыли любой ценой. Хренак-хренак, и в продакшн, вот как это называется.

 

Похоже, сами разрабы и украли. Там настолько дело тёмное, что просто мрак. Экзит-скам, похоже.


«Binance Smart Chain находится в интересной ситуации, – отмечает команда MyCrypto. – На нем существует множество полноценных проектов, но его не просто так называют “казино шиткоинов”. Uranium Finance зарегистрировали аккаунт в Twitter месяц назад и собрали $50 млн. Серьезно?»

 

Вот адресок этих как бы хакеров: https://bscscan.com/address/0x2b528a28451e9853f51616f3b0f6d82af8bea6ae

Из 50 миллионов $ осталось только 37 лямов, остальное вывели и отмыли через миксеры.

1886433541_.png.870746c1d8f604f317f91deda5c1fd46.png

 

Остались WBNB на 19 лимонов + BUSD еще на 18 лямчиков, видять служба безопасности Binance тормознула вывод этих монеток.

Приморозила их в блокчейне своём Binance Smart Chain.

 

Самое смешное в том, что хакер развернул специальный контракт-эксплоит за сутки до обновления протокола и миграции.

Заранее, понимаете? Заранее знал, какая будет уязвимость.

1761775321_.png.6dd62d020eef18c652924dbcbfcba120.png

 

 

Похоже на то, что разрабы этого чуда реально криворукие. Раскопали исходники,

так они просто форкнули  код SushiSwap и добавили туда ошибку - лично от себя:

 

Вот исходник Sushi:

(оригинальный код из репозитория Sushi, который был исходником форка Uranium:)

1214004080_.png.7096e2cf2282b34e36d7bd655ce7e700.png

 

А вот, что авторы Ураниума наворотили:

630953759_.png.8b183dd82821265f2e832a26794e98b0.png

Видите разницу?

1000 было заменено на 10000 в двух местах, но не в конце, в конце так и осталась 1 тысяча.

Результат? Вы можете обменять 1 WEI входного токена на 98% от общего баланса выходного токена.

 

Аудит контракта, вероятно, не проводился. Никто не проверял его на ошибки.

И вот результат.

 

Исследование кода сделал Kyle "1B TVL" Kistner, он и нашел эту ошибку. Уже после взлома.

 

Edited by Dmitrii Storm
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
  • Similar Topics

    • Binance заморозила $3 млн из-за взлома Ankr

      Генеральный директор Binance объявил, что биржа заморозила активы на сумму около $3 млн, полученные хакерами в результате эксплойта Ankr. Протокол DeFi Ankr подвергся масштабному взлому, в ходе которого злоумышленник смог выпустить 20 трлн токенов aBNBc. Затем хакер обменял часть средств на 5 млн USDC при помощи децентрализованной биржи Uniswap, миксера Tornado Cash, а также различных межсетевых мостов.   Компания Beosin, исследующая вопросы безопасности блокчейнов, написала в Твитте

      in Новости криптовалют

    • Взломавший Mango Market хакер лишился миллионов долларов при попытке взлома Aave

      Злоумышленник, стоящий за октябрьским взломом Mango Market, в результате маневра по манипулированию ценами, похоже, потерял миллионы долларов США на попытке взлома протокола DeFi Aave. Мошенник под ником «Avraham Eisenberg» позаимствовал 40 млн токенов CRV на децентрализованной кредитной платформе Aave, чтобы одномоментно продать их на рынке. В результате его манипуляции цена на CRV должна была резко упасть, что привело бы к ликвидации миллионов коротких позиций.   Однако, это не сра

      in Новости криптовалют

    • Налоговые органы Тайваня могут вычесть убытки пользователей FTX при подаче налоговой отчетности

      Налоговые органы Тайваня могут вычесть из налогооблагаемого дохода убытки более 500 000 местных пользователей криптовалют, пострадавших от кризиса торговой площадки FTX. По данным Taiwan Block Chain Academia (TBA), биржей FTX пользовались более 500 000 граждан Тайваня. Среди 751 пользователя FTX, принявшего участие в опросе Nextapple, 38.2% респондентов сообщили, что их предполагаемые потери насчитывают от $1 000 до $10 000. Еще 30.4% участников опроса оценивают свой ущерб на сумму от $10 0

      in Новости криптовалют

    • Биржа Deribit временно прекратила операции из-за взлома

      Deribit, одна из популярных бирж криптовалютных опционов, временно прекратила операции снятия средств из-за взлома горячего кошелька и потери  $28 млн. О компрометации своего горячего кошелька биржа Deribit сообщила в официальном Твиттере, подтвердив факт взлома и кражу $28 млн.   Deribit hot wallet compromised, but client funds are safe and loss is covered by company reserves Our hot wallet was hacked for USD 28m earlier this evening just before midnight UTC on 1 November 202

      in Новости криптовалют

    • Разработка метавселенной продолжает приносить Meta убытки

      Reality Labs, подразделение Meta, отвечающее за разработку метавселенной, снова отчиталось об убытках. За III квартал убытки составили $3.7 млрд, а за год – $9.4 млрд. Финансовый директор Meta Дейв Венер (Dave Wehner) отметил, что компания ожидает значительного роста операционных убытков Reality Labs в следующем году. Это подтверждают и ухудшающиеся показатели. Так, в I и II кварталах подразделение потеряло по $2.9 млрд. При этом выручка в I квартале составляла $695 млн, во II – $452 млн, а

      in Новости криптовалют

×
×
  • Create New...