$20M UwU Позика Хак: Як Термінові позики використали несправні цінові оракули

UwU Lend зазнав руйнівної крадіжки на суму $20 мільйонів у понеділок вранці, а засновник протоколу—суперечлива фігура, пов'язана з відомим крахом QuadrigaCX—тепер манить можливістю повернення коштів.

Схема атаки

Безпекова фірма Blocksec розглянула експлуатацію: хакер використав масивний миттєвий кредит (, можливо, такий великий, як $4 мільярд ) у поєднанні з маніпульованими ціновими оракулами для виведення коштів з позикового протоколу. На відміну від Aave, який має понад $20 мільярд у депозитах користувачів, залежність UwU від легко маніпульованих цінових даних створила критичну вразливість. Атакуючий затопив ланцюг позиченими активами, а потім скористався ціновою різницею, щоб вивести приблизно $20 мільйон у реальній вартості.

Переговори

Майкл Патрін, що діє під псевдонімом 0xSifu, запропонував хакеру винагороду для білих капелюхів: повернути ~$16 мільйон у криптовалюті та не мати жодних юридичних наслідків. “Ми пропонуємо 20% винагороду для білих капелюхів,” написав Патрін на Ethereum. “Жодного ризику переслідування, жодних проблем з правоохоронними органами.”

Це обдуманий крок — такий, який рідко спрацьовує, але іноді все ж так.

Проблема Патрина

Ось де стає цікаво: Патрин співзаснував QuadrigaCX, канадську біржу, яка зазнала краху в 2018 році на тлі звинувачень у шахрайстві. Пізніше він перевинайшов себе як 0xSifu, ставши менеджером з фінансів у Wonderland — DeFi протоколі, токен якого обрушився в січні 2022 року після того, як його особистість була виявлена.

Більша картина

Флеш-кредити стали улюбленим інструментом хакерів у DeFi. Цього року лише:

• Euler Finance: Втратив $197M хакер повернув 85%(
• Sonne Finance: )вичерпано минулого місяця
• Hedgey: $20M в квітні
• YTD total: $44M вкрадено з DeFi протоколів—зростання на 32% в річному обчисленні

Модель зрозуміла: протоколи з слабкими дизайнами оракулів є легкою метою.