Dopo quattro anni di indagini, le autorità statunitensi hanno sequestrato 31 milioni di dollari in criptovalute legate all'hacking di Uranium Finance del 2021.
Lunedì, il distretto meridionale di New York ha annunciato il sequestro come uno sforzo coordinato con le indagini sulla sicurezza nazionale di San Diego.
Uranium Finance è stato rilasciato il 1 aprile 2021 ed era un fork di Uniswap, un market maker automatizzato, rilasciato sulla catena BNB.
Il 28 aprile 2021, Uranium Finance ha subito una violazione della sicurezza Web 3.0. Il risultato fu di 50 milioni di dollari in token persi su oltre 26 diverse coppie di mercato, pari a uno degli attacchi Defi più devastanti dell'epoca.
Gli aggressori hanno riciclato il denaro attraverso mixer crittografici e scambi centrali, trasferendo piccole somme contemporaneamente per evitare di essere scoperti. Zack XBT, un ricercatore blockchain, sostiene che gli aggressori, nel tentativo di riciclare più denaro, hanno utilizzato il gioco blockchain Magic: The Gathering, utilizzando carte collezionabili per mescolare i fondi rubati.
Le vittime dell'attacco sono rimaste bloccate, senza sapere cosa stesse succedendo dietro le quinte, cosa aggravata dal fatto che il sito web di Uranium Finance è stato chiuso il 28 aprile 2021 e il loro account X non ha pubblicato post dal 30 aprile 2021.
La violazione ha consentito agli aggressori di gonfiare il saldo del progetto, manipolare coppie di token e drenare fondi dai pool di liquidità.
Una breve ispezione del codice Uniswap originale rivela che a uno scambio di coppia viene applicato un valore di 1.000, consentendo ai nuovi valori X e Y dell'output di applicare una nuova commissione. Contemporaneamente viene scalato insieme agli altri valori anche un valore K, utilizzato come valore di controllo.
Uniswap è un protocollo di scambio molto popolare, avendo sperimentato molte transazioni e, quindi, avendo molte più patch di sicurezza. Il problema, tuttavia, è quando avviene un fork senza che il team di sviluppo passi al nuovo progetto.
Il fork del codice Uranium Finance, tuttavia, utilizza un valore magico di 10.000 invece di 1.000. In modo più critico, continua a utilizzare 1.000 per il valore K, introducendo una discrepanza che può essere sfruttata per gonfiare i prezzi. La disparità tra 10.000 e 1.000 significa che uno swap è garantito essere 100 volte più grande del valore K prima dello swap.
Ciò significa che un hacker può scambiare una quantità minima di token con un importo molto maggiore se il contratto viene modificato in modo appropriato. Nel caso di Uranium Finance, l’aggressore potrebbe prosciugare le riserve di liquidità dei token della coppia.
Il passo successivo nell'hacking di Uranium Finance è stato quello di ritirare e offuscare i token rubati. Ciò è stato fatto mescolando i token utilizzando Tornado Cash e depositando i nuovi token in uno scambio centralizzato.
Sembra che gli aggressori siano stati meticolosi con il loro hack, sollevando la questione di come le autorità abbiano rintracciato i token rubati. Le autorità non hanno rivelato tutti i dettagli sul sequestro dei fondi e maggiori informazioni potrebbero essere rilasciate in seguito.
L'attacco ha interessato più token. Dei 50 milioni di dollari estratti, il Blockchain Token (BNB) di Binance e la Stablecoin (BUSD) di Binance hanno perso 18 milioni di dollari. Ethereum (ETH) e Wrapped Bitcoin (BTCB) di Binance hanno perso circa 9 milioni di dollari. USDT ha perso circa 6,7 milioni di dollari. DOT, ADA e Uranium Finance Token hanno perso 1,7 milioni di dollari.
Le informazioni pubbliche di BscScan mostrano che gli aggressori scambiano ADA e DOT con Ethereum, si preparano a riciclare i token e accumulano circa 2.400 ETH.
Questi token, per un valore di circa 5,7 milioni di dollari, sono stati mescolati con Tornado Cash, uno strumento di anonimato e privacy di Ethereum.
L'hack di Uranium Finance mostra quanto sia facile sfruttare una piattaforma Web 3.0 notando un singolo errore nel codice. Le discrepanze tra progetti biforcati e progetti originali sono particolarmente rischiose perché un progetto biforcato non sempre trasferisce il capitale umano, l'esperienza, i finanziamenti e il lavoro di squadra dal progetto originale. Nel caso di Uranium Finance, uno smart contract era vulnerabile a causa di un exploit invariante K.