$20M UwU借貸黑客：閃電貸如何利用故障價格預言機

UwU Lend在周一早些時候遭遇了一場高達$20 百萬的嚴重盜竊，而該協議的創始人——一個與臭名昭著的QuadrigaCX崩潰有關的爭議人物——現在正懸出一個誘餌以尋求資金的回歸。

攻擊藍圖

安全公司Blocksec分析了這一漏洞：黑客使用了一個巨額的閃電貸(，可能高達$4 億)，結合可操縱的價格預言機來抽取借貸協議的資金。與擁有超過$20 億用戶存款的Aave不同，UwU對易受操控的價格數據源的依賴造成了一個關鍵漏洞。攻擊者使用借來的資產泛濫區塊鏈，然後利用價格差異 siphon出大約$20 百萬的真實價值。

談判

邁克爾·帕特林，使用0xSifu這個化名，向黑客提供了一個白帽獎勵：歸還~$16 百萬加密貨幣，並面臨零法律後果。帕特林在以太坊上消息稱：“我們提供20%的白帽獎勵。沒有起訴風險，沒有執法問題。”

這是一種經過計算的舉動——這種舉動很少奏效，但偶爾也會成功。

帕特林問題

事情變得有趣了：Patryn 是 QuadrigaCX 的聯合創始人，這家加拿大交易所在 2018 年因欺詐指控而崩潰。他後來以 0xSifu 的身分重新塑造自己，成爲 Wonderland 的財務經理——這是一個 DeFi 協議，其代幣在 2022 年 1 月他身分被揭露後崩潰。

更大的圖景

閃電貸已成爲DeFi中最受歡迎的黑客工具。今年僅此一年：

• Euler Finance: 被盜$197M 的黑客歸還了85%(
• Sonne Finance: )上個月被抽走了
• 對沖：4 月 $20M in 日
• 年初至今總計：$44M 從DeFi協議中被盜——同比增長32%

模式很清晰：設計薄弱的預言機協議是活靶子。