Binance Chain DeFi Exchange Uranium Фінанси втрачає 50 мільйонів доларів через експлойт

Клон Binance Smart Chain Uniswap , Uranium Фінанси, втратив 50 мільйонів доларів у токенах рано вранці в середу через експлойт.

Зловмисник скористався вразливістю, яка була присутня в контрактах Uranium v2 після оновлення біржі понад тиждень тому. Після відправки мінімально необхідних токенів у «парні контракти» Uranium зловмисник виснажив пули ліквідності для кількох пар токенів; неправильно розміщений нуль у полі балансу контракту (точніше, відсутність ONE в розділі, що керує резервами) створив прохід для вектора атаки.

Із конфіскованих 50 мільйонів доларів пули блокчейн-токена Binance (BNB) і його стейблкоїна (BUSD) втратили по 18 мільйонів доларів кожен. Пули Ethereum і BTCB (версія Binance Chain "загорнута" Bitcoin) разом втратили токенів на суму близько 9 мільйонів доларів. Додаткові 6,7 млн ​​дол USDT і 1,7 млн ​​дол DOT, ADA і власний токен Uranium також зник з інших пулів.

Читайте також: Sushiswap, Fleeing Fees Ethereum , тепер працює на Binance Smart Chain, Fantom, інші

Після злому BTCB було замінено на справжні BTC, і ETH знаходиться в міксері Ethereum під назвою Tornado Cash, відповідно досліднику The Block Ігорю Ігамбердієву.

Зокрема, за минулий експлойт у блокчейні BSC Binance, BNB і BUSD можуть бути відновлені шляхом відкату, хоча Binance не робила жодних заяв з цього приводу.

«Вся FARM під загрозою»

Ця вразливість присутня у всіх пулах Uranium v2. А Закріплене повідомлення в Telegram анонімний член спільноти Uranium Baymax попереджає користувачів «ЗУПИНИТИ додавання ліквідності ... і видалити ліквідність, якщо можеш», оскільки експлойт все ще залишає під загрозою мільйони доларів у токенах у цих контрактах v2.

Baymax радить користувачам перейти на контракти v2.1, які містять виправлення вразливості. Примітно, що атака сталася за дві години до запуску версії 2.1, хоча експлойт був відкритий після останнього оновлення Uranium до версії 2 трохи більше тижня тому.

Читайте також: PancakeSwap збільшує перевагу Binance Smart Chain над Ethereum за транзакціями

«Як ви всі знаєте, ми замовили перевірку, і серед знахідок була проблема низького рівня серйозності. Розробники копнули глибше та виявили проблему, яка поставила під загрозу всю FARM », — йдеться у закріпленому повідомленні Baymax.

«В Uranium є загалом 7 осіб, які знали про цю аварійну технологію. Крім Uranium, 3 підрядники-аудитори та їхні відповідні підрядники можуть знати про цю помилку», — йдеться нижче. Далі в повідомленні Baymax припускає, що «хтось злив інформацію», яка призвела до того, що зловмисник використав уразливість.

Baymax не відповів на додаткові запитання щодо аудитора коду Uranium.

Під час розмови з CoinDesk Baymax також заперечив будь-яку причетність до Uranium, окрім того, щоб бути «членом спільноти». Жодні інші «члени спільноти», будь то члени CORE команди Uranium чи інші, не відповіли на прес-час.