O protocolo de empréstimo DeFi UwU Lend sofreu dois ataques nos últimos três dias. A segunda exploração ocorreu na quinta-feira, durante o processo de reembolso do protocolo após o primeiro hack. A saga em andamento drenou aproximadamente US$ 23 milhões do protocolo.
Protocolo DeFi atingido por exploração de US$ 20 milhões
Em 10 de junho, o projeto DeFi UwU Lend foi atingido por um ataque sofisticado que levou US$ 19,3 milhões. O ataque parece ter envolvido o uso de empréstimos instantâneos para explorar o protocolo. O projeto rapidamente resolveu a situação pausando o protocolo e garantindo aos usuários que a maioria dos ativos estava segura.
Além disso, a equipe ofereceu uma recompensa de chapéu branco de US$ 4 milhões pela devolução dos fundos. A lista de ativos roubados incluía Wrapped Ethereum (wETH), Wrapped Bitcoin (wBTC), Curve DAO (CRV), Tether (USDT), Staked USDe (sUSDE) e outros.
A empresa de segurança Blockchain Beosin revelou que o invasor manipulou o preço do USDe (USDE) trocando-o por outros tokens por meio de empréstimos instantâneos. Aparentemente, esse movimento baixou o preço do USDe e do sUSDE.
Após a manipulação de preços, o hacker depositou alguns dos tokens no UwU Lend e “emprestou mais $sUSDe do que o esperado”, fazendo com que o preço do USDe subisse. Da mesma forma, o invasor depositou o sUSDE no protocolo DeFi e pegou emprestado o CRV.
Na quarta-feira, a UwU Lend informou aos usuários que sua equipe havia identificado a vulnerabilidade. De acordo com a postagem, esta era uma vulnerabilidade única para o oráculo do mercado sUSDE e havia sido corrigida no momento do relatório.
Como resultado, o protocolo foi retomado e os mercados foram lentamente reanimados para regressarem às operações normais. O projeto DeFi também anunciou que pagará todas as suas dívidas inadimplentes e que os fundos dos usuários não foram perdidos durante a exploração, alegando que seus fundos “estão seguros no UwU Lend”.
Você consegue DéFì Vu?
O que parecia ser o fim da história acabou sendo o primeiro capítulo de uma saga. Relatos de um segundo ataque ao UwU Lend surgiram na quinta-feira, enquanto o protocolo continuava seu processo de reembolso.
Segundo relatos, o mesmo invasor drenou outros US$ 3,7 milhões do protocolo DeFi antes de converter os fundos de volta em ETH. Os pools afetados incluem uDAI, uWETH, uLUSD, uFRAX, UCRVUSD e uUSDT.
A comunidade criptográfica expressou preocupação com o segundo ataque, com muitos questionando se seus fundos estavam realmente seguros. Os usuários começaram a brincar que os fundos não eram “safu”, mas sim “com Sifu”.
A UwU Lend foi fundada por Michael Patryn, também conhecido como Sifu. Patryn foi o cofundador do agora falido QuadrigaCX. Conforme relatado pelo Bitcoinist, as autoridades canadenses estavam perseguindo uma ordem de riqueza inexplicável (UWO) contra Sifu por seu envolvimento nas atividades criminosas da bolsa.
O projeto DeFi suspendeu o protocolo pela segunda vez esta semana e a situação está sob investigação. No entanto, relatórios online afirmam que a segunda exploração foi causada por uma vulnerabilidade semelhante ao primeiro ataque.
O MetaTrust Labs explicou que o hacker usaria os US$ 60 milhões obtidos no hack de segunda-feira "como garantia para drenar o pool".
A notícia levou os usuários a se perguntarem se a equipe do UwU Lend não tinha conhecimento dos tokens na carteira do invasor. Alguns também se perguntaram por que não pararam de apoiar as garantias do sUSDE.
No momento em que este artigo foi escrito, uma explicação oficial para a segunda exploração não foi publicada.
