币安智能链上的自动做市商平台铀金融(Uranium Finance)报告了一起安全事故,造成约5000万美元的损失。
周三,Uranium在twitter上透露,该漏洞针对的是其v2.1代币迁移事件,该团队正在与币安安全团队联系,以缓解局势。
(1/2)‼️铀迁移已被利用,以下地址有5000万。唯一重要的是将资金留在BSC上,请大家立即将这个地址发推给币安,要求他们停止转账。
— Uranium Finance (@UraniumFinance) April 28, 2021
据报道,黑客利用了铀的平衡修改器逻辑中的漏洞,将项目的平衡放大了100倍。
据报道,这个错误让攻击者从该项目中窃取了5000万美元。截至撰写本文时,该黑客创建的合同仍持有币安币(BNB)和币安美元(BUSD) 3680万美元。
剩余被盗资金包括80比特币(BTC)、1800以太币(ETH)、26500 Polkadot (DOT)、570万Tether (USDT)、638,000 Cardano (ADA)和112,000 u92,该项目的本土货币。
来自BscScan的详细信息显示,攻击者将ADA和DOT令牌交换为ETH,将以太藏物增加到约2400个ETH。
与此同时,据称的盗窃主犯已经使用以太坊隐私工具Tornado Cash转移了2400个ETH,价值约570万美元。
来自以太坊链监控服务Etherscan的数据显示了100个ETH金额的资金移动,跨链去中心化交换桥AnySwap用于将资金从BSC迁移到以太坊网络。
来源:Etherscan据Uranium表示,该项目已经联系了币安安全团队,以防止黑客将更多资金转移出平衡计分卡生态系统。
币安没有立即回应Cointelegraph的置评请求。铀的一位发言人透露,该漏洞尚未得到修补,用户已被建议停止为该项目提供流动性,并将资金套现。
该团队还为黑客攻击的受害者创建了一个Telegram群组,并承诺提供追回被盗资金的最新进展。
周三的黑客攻击是铀项目连续第二次受到攻击。4月初,黑客利用了该平台的一个资源池,窃取了价值约130万美元的BUSD和BNB。
事实上,这个事件导致了不到两周前第一次迁移到v2。在此前的一份声明中,铀开发团队表示,多个实体审计了其v2合同,并从之前的错误中吸取了教训。
与此同时,由于在完成v2迁移后仅仅11天就突然决定进行另一个版本升级,人们纷纷猜测这次攻击是否是内部人员干的。
今天@UraniumFinance得到了rekt。铀开发人员刚刚部署了他们合同中的v2, 11天后他们要求所有人迁移到v2.1。这个升级的时机真奇怪,对吧?下面是这个bug是如何工作的。⬇️
— Kyle "1B TVL" Kistner | Fulcrum | bZx (@BeTheb0x) April 28, 2021
在去中心化金融领域,即使是完全审计过的项目,与智能合约漏洞相关的黑客行为也很常见——就像4月初MonsterSlayer finance的情况一样。回到三月,猫鼬,一种渴望。据报道,“退出欺诈”其用户,在此过程中窃取了3100万美元。
几天后,该项目的开发团队透露,所谓的“拉地毯”只是一个测试,同时概述了返还资金的计划。TurtleDex,另一个基于bsc的项目,在其启动后不久也被退出骗局,耗尽了在预售期间筹集的9000多个BNB代币。