$20M UwU Заем Хак: Как Срочные займы Использовали Ошибочные Ценовые Оракулы

UwU Lend понес ущерб в размере $20 миллионов в результате кражи в понедельник утром, и основатель протокола — спорная фигура, связанная с печально известным крахом QuadrigaCX — теперь манит морковкой, чтобы вернуть средства.

Схема атаки

Безопасная компания Blocksec проанализировала уязвимость: хакер использовал массовый флеш-кредит (возможно, как минимум $4 миллиард) в сочетании с манипулируемыми ценовыми оракулами для опустошения кредитного протокола. В отличие от Aave—у которого более $20 миллиардов в пользовательских депозитах—зависимость UwU от легко манипулируемых ценовых данных создала критическую уязвимость. Атакующий затопил цепочку заимствованными активами, а затем использовал ценовое несоответствие, чтобы выкачать примерно $20 миллион в реальной стоимости.

Переговоры

Майкл Патрин, действующий под псевдонимом 0xSifu, предложил хакеру белый хакерский бонус: вернуть ~$16 миллион в криптовалюте и избежать любых юридических последствий. “Мы предлагаем 20% белый хакерский бонус,” написал Патрин в сообщении на Ethereum. “Нет риска уголовного преследования, никаких проблем с правоохранительными органами.”

Это продуманный ход — такой, который редко срабатывает, но иногда срабатывает.

Проблема Патри

Вот где становится интересно: Патри́н стал соучредителем QuadrigaCX, канадской биржи, которая обрушилась в 2018 году на фоне обвинений в мошенничестве. Позже он заново reinvented себя как 0xSifu, став управляющим казной в Wonderland — Протокол DeFi, чей токен рухнул в январе 2022 года после того, как его личность была раскрыта.

Большая картина

Флеш-займы стали любимым инструментом хакеров в DeFi. Только в этом году:

• Euler Finance: Потеряно $197M хакер вернул 85%(
• Sonne Finance: )обескровлен в прошлом месяце
• Hedgey: $20M в апреле
• Общая сумма с начала года: $44M украдено из Протоколов DeFi — увеличение на 32% по сравнению с прошлым годом

Шаблон ясен: Протоколы с слабыми дизайнами оракулов — легкая мишень.