O $20M UwU Lend Hack: Como os Empréstimos Flash Exploitaram Oráculos de Preço Defeituosos

UwU Lend sofreu um roubo devastador de $20 milhões na manhã de segunda-feira, e o fundador do protocolo—uma figura controversa ligada ao infame colapso da QuadrigaCX—está agora a oferecer um incentivo para recuperar os fundos.

O Esquema do Ataque

A empresa de segurança Blocksec analisou a exploração: o hacker usou um enorme empréstimo relâmpago (possivelmente tão grande quanto $4 bilhões) combinado com oráculos de preço manipuláveis para drenar o protocolo de empréstimo. Ao contrário da Aave—que tem mais de $20 bilhões em depósitos de usuários— a dependência da UwU em feeds de preço facilmente manipuláveis criou uma vulnerabilidade crítica. O atacante inundou a cadeia com ativos emprestados, e então explorou a discrepância de preço para desviar cerca de $20 milhões em valor real.

A Negociação

Michael Patryn, operando sob o pseudónimo 0xSifu, ofereceu ao hacker uma recompensa de chapéu branco: devolver ~$16 milhões em criptomoeda e enfrentar zero consequências legais. “Estamos oferecendo uma recompensa de 20% para chapéus brancos,” Patryn enviou uma mensagem na Ethereum. “Sem risco de acusação, sem problemas com a aplicação da lei.”

É uma jogada calculada—uma que raramente funciona, mas ocasionalmente funciona.

O Problema Patryn

Aqui é onde fica interessante: Patryn co-fundou a QuadrigaCX, a exchange canadense que implodiu em 2018 em meio a acusações de fraude. Ele mais tarde reinventou-se como 0xSifu, tornando-se gerente de tesouraria da Wonderland—um protocolo DeFi cujo token colapsou em janeiro de 2022 após sua identidade ser revelada.

A Visão Geral

Os empréstimos relâmpago tornaram-se uma ferramenta de hacking favorita no DeFi. Só este ano:

• Euler Finance: Perdeu $197M (hacker devolveu 85%)
• Sonne Finance: $20M esgotou no mês passado
• Hedgey: $44M em abril
• Total YTD: $560M roubados de protocolos DeFi—um aumento de 32% ano a ano

O padrão é claro: protocolos com designs de oráculos fracos são alvos fáceis.