Uranium Finance, một nền tảng tạo thị trường tự động trên Chuỗi thông minh Binance đã báo cáo một sự cố bảo mật dẫn đến thiệt hại khoảng 50 triệu đô la.
Tweet vào thứ Tư, Uranium tiết lộ rằng việc khai thác đã nhắm mục tiêu sự kiện di chuyển mã thông báo v2.1 của nó và nhóm đã liên hệ với Nhóm bảo mật Binance để giảm thiểu tình trạng này.
(1/2)‼ ️ Việc di chuyển uranium đã được khai thác, địa chỉ sau có 50 triệu đồng. Điều duy nhất quan trọng là giữ tiền trên BSC, mọi người hãy bắt đầu tweet địa chỉ này cho Binance ngay lập tức yêu cầu họ ngừng chuyển tiền.
– Tài chính Uranium (@UraniumFinance) Ngày 28 tháng 4 năm 2021
Tin tặc được cho là đã lợi dụng các lỗi trong logic công cụ sửa đổi cân bằng của Uranium để làm tăng số dư của dự án lên hệ số 100.
Lỗi này được cho là đã cho phép kẻ tấn công lấy cắp 50 triệu đô la từ dự án. Tính đến thời điểm viết bài, hợp đồng do hacker tạo ra vẫn giữ 36,8 triệu đô la Binance Coin (BNB) và Binance Dollar (BUSD).
Số tiền bị đánh cắp còn lại bao gồm 80 Bitcoin (BTC), 1.800 Ether (ETH), 26.500 Polkadot (DOT), và 5,7 triệu Tether (USDT) cũng như 638.000 Cardano (ADA) và 112.000 u92, đồng tiền gốc của dự án.
Thông tin chi tiết từ BSCscan cho thấy kẻ tấn công hoán đổi mã thông báo ADA và DOT lấy ETH, nâng số tiền lưu trữ Ether lên khoảng 2.400 ETH.
Trong khi đó, kẻ bị cáo buộc là chủ mưu của vụ trộm đã chuyển 2.400 ETH, trị giá khoảng 5,7 triệu đô la bằng cách sử dụng công cụ bảo mật Ethereum Tornado Cash.
Dữ liệu từ dịch vụ giám sát chuỗi Ethereum Etherscan cho thấy số tiền di chuyển bằng 100 ETH với cầu trao đổi phi tập trung xuyên chuỗi AnySwap được sử dụng để chuyển tiền từ BSC sang mạng Ethereum.
Theo Uranium, dự án đã liên hệ với nhóm Bảo mật Binance để ngăn chặn tin tặc chuyển thêm tiền ra khỏi hệ sinh thái BSC.
Binance không trả lời ngay lập tức yêu cầu bình luận của Cointelegraph. Uranium từ chối bình luận.
Vụ hack hôm thứ Tư là vụ tấn công thứ hai liên tiếp vào dự án Uranium. Đầu tháng 4, tin tặc đã khai thác một trong những nhóm của nền tảng này đánh cắp BUSD và BNB trị giá 1,3 triệu đô la.
Thật vậy, sự cố đã dẫn đến lần di chuyển đầu tiên sang phiên bản v2 chưa đầy hai tuần trước. Trong một thông báo trước đó, nhóm phát triển Uranium nói rằng nhiều đơn vị đã kiểm tra các hợp đồng v2 của họ và họ đã rút ra bài học từ những sai lầm trước đây của mình.
Trong khi đó, có rất nhiều suy đoán về việc liệu cuộc tấn công có phải là một công việc nội bộ hay không khi quyết định đột ngột thiết kế một bản nâng cấp phiên bản khác chỉ 11 ngày sau khi hoàn thành quá trình di chuyển v2.
Hôm nay @UraniumFinance có rekt. Các nhà phát triển Uranium vừa triển khai v2 trong hợp đồng của họ và 11 ngày sau, họ yêu cầu mọi người chuyển sang v2.1. Thời gian khá kỳ lạ để nâng cấp, phải không?
Đây là cách lỗi hoạt động. ⬇️
– Kyle “1B TVL” Kistner | Điểm tựa | bZx (@ BeTheb0x) Ngày 28 tháng 4 năm 2021
Các cuộc tấn công liên quan đến lỗi hợp đồng thông minh là điều phổ biến trong lĩnh vực tài chính phi tập trung ngay cả đối với các dự án đã được kiểm toán đầy đủ như trường hợp của MonsterSlayer Finance hồi đầu tháng 4. Quay trở lại vào tháng 3, Meerkat, một bản sao của Yearn Finance trên BSC đã báo cáo rằng “đã lừa đảo” người dùng của mình, đánh cắp 31 triệu đô la trong quá trình này.
Vài ngày sau, nhóm phát triển của dự án tiết lộ rằng “tấm thảm kéo” được cho là một cuộc thử nghiệm trong khi vạch ra kế hoạch trả lại tiền. TurtleDex, một dự án khác dựa trên BSC cũng bị lừa ngay sau khi ra mắt, tiêu tốn hơn 9.000 mã thông báo BNB được huy động trong đợt bán trước.
.
