Binance Chain DeFi Exchange Uranium Finanza perde 50 milioni di dollari in un exploit

Un clone di Binance Smart Chain Uniswap , Uranium Finanza, ha perso 50 milioni di dollari in token nelle prime ore di mercoledì mattina a causa di un exploit.

L'attaccante ha sfruttato una vulnerabilità presente nei contratti v2 di Uranium da quando l'exchange è stato aggiornato più di una settimana fa. Dopo aver inviato i token minimi richiesti nei "contratti di coppia" di Uranium, l'attaccante ha prosciugato i pool di liquidità per più coppie di token; uno zero fuori posto nel campo del saldo del contratto (o meglio, la mancanza di ONE in una sezione che gestisce le riserve) ha creato l'apertura per il vettore di attacco.

Dei 50 milioni di $ rubati, i pool per il token blockchain di Binance (BNB) e la sua stablecoin (BUSD) hanno perso ciascuno 18 milioni di $ di fondi. I pool Ethereum e BTCB (la versione di Binance Chain di "wrapped" Bitcoin) hanno perso collettivamente circa 9 milioni di dollari in token. Altri 6,7 milioni di dollari inUSDTe 1,7 milioni di dollari inDOT,ADAe il token di Uranium è scomparso anche dagli altri pool.

Continua a leggere: Sushiswap, in fuga dalle commissioni Ethereum , è ora attivo su Binance Smart Chain, Fantom e altri

Dopo l'hack, il BTCB è stato scambiato con BTC reale e il ETH si trova in un mixer Ethereum chiamato Tornado Cash, secondoal ricercatore di The Block Igor Igamberdiev.

In particolare,per un exploit passato sulla blockchain BSC di Binance, BNB e BUSD potrebbero essere recuperati tramite un rollback, sebbene Binance non abbia rilasciato dichiarazioni in merito.

"A rischio l'intera FARM "

Questa vulnerabilità è presente in tutti i pool Uranium v2. AMessaggio bloccato su Telegramdi Baymax, membro anonimo della comunità Uranium, avverte gli utenti di "SMETTERE di aggiungere liquidità... e di rimuovere liquidità se possibile" perché l'exploit lascia ancora a rischio milioni di dollari in token in questi contratti v2.

Baymax consiglia agli utenti di migrare ai contratti v2.1, che includono una correzione per la vulnerabilità. In particolare, l'attacco è avvenuto due ore prima che v2.1 andasse in onda, nonostante l'exploit fosse aperto dall'ultimo aggiornamento di Uranium a v2, poco più di una settimana fa.

Continua a leggere: PancakeSwap amplia il vantaggio di Binance Smart Chain su Ethereum sulle transazioni

"Come tutti sapete, abbiamo commissionato un audit e tra i risultati c'era un problema di bassa gravità. Gli sviluppatori hanno scavato più a fondo e hanno trovato un problema che metteva a rischio l'intera FARM ", si legge nel messaggio appuntato di Baymax.

"Ci sono in totale 7 persone in Uranium che erano a conoscenza dell'exploit. Fuori da Uranium ci sarebbero i 3 auditor, i contractor e i rispettivi subcon che potrebbero essere a conoscenza di questa falla", si legge più in basso. Più avanti nel messaggio, Baymax ipotizza che "qualcuno abbia fatto trapelare informazioni" che hanno portato l'attaccante a sfruttare la vulnerabilità.

Baymax non ha risposto alle domande successive riguardanti il revisore del codice di Uranium.

Baymax ha anche negato qualsiasi coinvolgimento con Uranium oltre al fatto di essere un "membro della community" quando ha parlato con CoinDesk. Nessun altro "membro della community", che faccia parte del team CORE di Uranium o meno, ha risposto al momento della stampa.