Il protocollo di prestito DeFi UwU Lend ha subito due attacchi negli ultimi tre giorni. Il secondo exploit è avvenuto giovedì durante il processo di rimborso del protocollo a seguito del primo hack. La saga in corso ha sottratto circa 23 milioni di dollari al protocollo.
Protocollo DeFi colpito da un exploit da 20 milioni di dollari
Il 10 giugno, il progetto DeFi UwU Lend è stato colpito da un attacco sofisticato che ha portato via 19,3 milioni di dollari. Sembra che l’attacco abbia comportato l’uso di prestiti flash per sfruttare il protocollo. Il progetto ha affrontato rapidamente la situazione mettendo in pausa il protocollo e garantendo agli utenti che la maggior parte delle risorse erano al sicuro.
Inoltre, il team ha offerto una taglia white hat di 4 milioni di dollari per la restituzione dei fondi. L'elenco degli asset rubati includeva Wrapped Ethereum (wETH), Wrapped Bitcoin (wBTC), Curve DAO (CRV), Tether (USDT), Staked USDe (sUSDE) e altri.
La società di sicurezza blockchain Beosin ha rivelato che l'aggressore ha manipolato il prezzo di USDe (USDE) scambiandolo con altri token tramite prestiti flash. Apparentemente, questa mossa ha abbassato il prezzo di USDe e sUSDE.
In seguito alla manipolazione dei prezzi, l'hacker ha depositato parte dei token su UwU Lend e "ha prestato più $sUSDe del previsto", facendo salire il prezzo di USDe. Allo stesso modo, l’ aggressore ha depositato l’sUSDE nel protocollo DeFi e ha preso in prestito CRV.
Mercoledì, UwU Lend ha informato gli utenti che il suo team aveva identificato la vulnerabilità. Secondo il post, si trattava di una vulnerabilità unica dell’oracolo del mercato sUSDE ed era stata risolta al momento del rapporto.
Di conseguenza, il protocollo è stato ripreso e i mercati sono stati lentamente rilanciati per tornare alle normali operazioni. Il progetto DeFi ha anche annunciato che ripagherà tutti i suoi debiti inesigibili e che i fondi degli utenti non sono andati persi durante l'exploit, sostenendo che i loro fondi "sono sicuri presso UwU Lend".
Ti viene DéFì Vu?
Quella che sembrava essere la fine della storia si rivelò essere il primo capitolo di una saga. Giovedì sono apparse notizie di un secondo attacco a UwU Lend mentre il protocollo portava avanti il processo di rimborso.
Secondo i rapporti, lo stesso aggressore ha prosciugato altri 3,7 milioni di dollari dal protocollo DeFi prima di convertire nuovamente i fondi in ETH. I pool interessati includevano uDAI, uWETH, uLUSD, uFRAX, UCRVUSD e uUSDT.
La comunità cripto ha espresso la propria preoccupazione per il secondo attacco, e molti si sono chiesti se i loro fondi fossero effettivamente al sicuro. Gli utenti hanno iniziato a scherzare dicendo che i fondi non erano “safu” ma erano invece “con Sifu”.
UwU Lend è stata fondata da Michael Patryn, noto anche come Sifu. Patryn è stato il co-fondatore dell'ormai crollato QuadrigaCX. Come riportato da Bitcoinist, le autorità canadesi stavano perseguendo un ordine di ricchezza inspiegabile (UWO) contro Sifu per il suo coinvolgimento nelle attività criminali dell'exchange.
Il progetto DeFi ha sospeso il protocollo per la seconda volta questa settimana e la situazione è oggetto di indagine. Tuttavia, i rapporti online affermano che il secondo exploit è stato causato da una vulnerabilità simile al primo attacco.
MetaTrust Labs ha spiegato che l'hacker avrebbe utilizzato i 60 milioni di USUSD ottenuti dall'hacking di lunedì "come garanzia per prosciugare il pool".
La notizia ha portato gli utenti a chiedersi se il team di UwU Lend non fosse a conoscenza dei token nel portafoglio dell'aggressore. Alcuni si sono anche chiesti perché non abbiano smesso di sostenere il collaterale sUSDE.
Al momento in cui scriviamo non è stata pubblicata una spiegazione ufficiale per il secondo exploit.
