Hacker roba USD 50 millones de la plataforma Uranium Finance
Uranium Finance, una plataforma de creación de mercado automatizada en Binance Smart Chain, ha informado de un incidente de seguridad que resultó en una pérdida de alrededor de $50 millones de dólares.
En un tweet el miércoles, Uranium reveló que el exploit tenía como objetivo su evento de migración de token v2.1 y que el equipo estaba en contacto con el equipo de seguridad de Binance para mitigar la situación.
(1/2)‼️ Uranium migration has been exploited, the following address has 50m in it The only thing that matters is keeping the funds on BSC, everyone please start tweeting this address to Binance immediately asking them to stop transfers.
— Uranium Finance (@UraniumFinance) April 28, 2021
Según los informes, el hacker informático se aprovechó de los errores en la lógica del modificador de equilibrio de Uranium que infló el equilibrio del proyecto en un factor de 100.
Según los informes, este error permitió al atacante robar $50 millones del proyecto. Al momento de escribir este artículo, el contrato creado por el hacker todavía tiene $36.8 millones en Binance Coin (BNB) y Binance USD (BUSD).
Los fondos robados restantes incluyen 80 Bitcoin (BTC), 1,800 Ether (ETH), 26,500 Polkadot (DOT), 5.7 millones de Tether (USDT), así como 638,000 Cardano (ADA) y 11,000 u92, la moneda nativa del proyecto.
Los detalles de BscScan muestran que el atacante cambió los tokens ADA y DOT por ETH, aumentando el alijo de Ether a aproximadamente 2,400 ETH.
Mientras tanto, el presunto autor intelectual del robo ya ha movido 2.400 ETH, por un valor aproximado de $5,7 millones, utilizando la herramienta de privacidad de Ethereum Tornado Cash.
Los datos del servicio de monitoreo de la cadena Ethereum, Etherscan, muestran los fondos moviéndose en sumas de 100 ETH, con el puente de exchange descentralizado de cadena cruzada, AnySwap, utilizado para migrar fondos desde BSC a la red Ethereum.
Según Uranium, el proyecto se ha comunicado con el equipo de seguridad de Binance para evitar que el hacker mueva más fondos fuera del ecosistema BSC.
Binance no respondió de inmediato a la solicitud de comentarios de Cointelegraph. Un vocero de Uranium reveló que el error aún no se había corregido y que se había aconsejado a los usuarios que dejaran de proporcionar liquidez al proyecto y retiraran sus fondos.
El equipo también creó un grupo de Telegram para las víctimas del ataque y prometió proporcionar actualizaciones sobre el progreso realizado para recuperar los fondos robados.
El truco del miércoles es el segundo ataque al proyecto Uranium en rápida sucesión. A principios de abril, los piratas informáticos atacaron uno de los pools de la plataforma y robaron alrededor de $1.3 millones en BUSD y BNB.
De hecho, el incidente provocó la primera migración a la v2 hace menos de dos semanas. En un anuncio anterior, el equipo de desarrolladores de Uranium dijo que varias entidades habían auditado sus contratos v2 y que habían aprendido de sus errores anteriores.
Mientras tanto, abunda la especulación sobre si el ataque fue un trabajo interno, dada la repentina decisión de diseñar otra actualización de la versión apenas 11 días después de completar la migración v2.
Today @UraniumFinance got rekt. The Uranium devs had just deployed v2 of their contracts, and 11 days later they asked everyone to migrate to v2.1. Pretty odd timing for an upgrade, right?
Here’s how the bug worked. ⬇️
— Kyle “1B TVL” Kistner | Fulcrum | bZx (@BeTheb0x) April 28, 2021
Los hackeos asociados con errores de contratos inteligentes son comunes en el ámbito de las finanzas descentralizadas incluso para proyectos completamente auditados, como fue el caso de MonsterSlayer Finance a principios de abril. En marzo, Meerkat, un clon de Yearn.finance en BSC, supuestamente “estafó” a sus usuarios, robando $31 millones en el proceso.
Días después, el equipo de desarrolladores del proyecto reveló que el supuesto “rugpull” era una prueba mientras describía los planes para devolver los fondos. TurtleDex, otro proyecto basado en BSC, también sufrió una estafa poco después de su lanzamiento, agotando más de 9,000 tokens BNB recaudados durante la preventa.
Sigue leyendo: