Binance Chain DeFi Exchange Uranium Finance Nawalan ng $50M sa Exploit

Isang clone ng Binance Smart Chain Uniswap , Uranium Finance, ang nawalan ng $50 milyon sa mga token noong Miyerkules ng umaga sa isang pagsasamantala.

Sinamantala ng attacker ang isang kahinaan na naroroon sa mga kontrata ng v2 ng Uranium mula noong na-upgrade ang exchange mahigit isang linggo na ang nakalipas. Pagkatapos ipadala ang pinakamababang kinakailangang mga token sa "mga kontrata ng pares" ng Uranium, inubos ng umaatake ang mga liquidity pool para sa maraming pares ng token; isang maling lugar na zero sa field ng balanse ng kontrata (o sa halip, ang kakulangan ng ONE sa isang seksyon na namamahala sa mga reserba) ay lumikha ng pagbubukas para sa vector ng pag-atake.

Mula sa $50 milyon na na-filch, ang mga pool para sa blockchain token (BNB) ng Binance at ang stablecoin nito (BUSD) ay nawalan ng $18 milyon sa mga pondo. Ethereum at BTCB pool (ang bersyon ng Binance Chain ng "nakabalot'' Bitcoin) sama-samang nawalan ng humigit-kumulang $9 milyon na halaga ng mga token. Karagdagang $6.7 milyon sa USDT at $1.7 milyon sa DOT, ADA at ang sariling token ng Uranium ay nawala din sa ibang mga pool.

Read More: Sushiswap, Tumatakas sa Ethereum Fees, Live na Ngayon sa Binance Smart Chain, Fantom, Iba pa

Pagkatapos ng pag-hack, ang BTCB ay napalitan ng totoong BTC, at ang ETH ay nasa isang Ethereum mixer na tinatawag na Tornado Cash, ayon sa The Block researcher na si Igor Igamberdiev.

Kapansin-pansin, sa isang nakaraang pagsasamantala sa BSC blockchain ng Binance, ang BNB at BUSD ay maaaring mabawi sa pamamagitan ng rollback, kahit na ang Binance ay walang ginawang anunsyo tungkol sa bagay na ito.

'Nasa panganib ang buong FARM '

Ang kahinaan na ito ay naroroon sa lahat ng Uranium v2 pool. A Naka-pin na mensahe sa Telegram ng hindi kilalang miyembro ng komunidad ng Uranium, binalaan ng Baymax ang mga user na "TUMIGIL sa pagdaragdag ng liquidity ... at alisin ang liquidity kung magagawa mo" dahil ang pagsasamantala ay nag-iiwan pa rin ng milyun-milyong dolyar sa mga token na nasa panganib sa mga v2 na kontratang ito.

Pinapayuhan ng Baymax ang mga user na lumipat sa mga v2.1 na kontrata, na kinabibilangan ng pag-aayos para sa kahinaan. Kapansin-pansin, ang pag-atake ay dumating dalawang oras bago naging live ang v2.1, kahit na ang pagsasamantala ay bukas mula noong huling pag-upgrade ng Uranium sa v2 mahigit isang linggo lamang ang nakalipas.

Read More: Pinalawak ng PancakeSwap ang Pangunguna ng Binance Smart Chain sa Ethereum sa Mga Transaksyon

"Tulad ng alam mo, nag-commission kami ng pag-audit, at kabilang sa natuklasan ay isang isyu ng mababang kalubhaan. Ang mga devs ay naghukay ng mas malalim at nakahanap ng isang isyu na may panganib sa buong FARM ," binasa ang naka-pin na mensahe ng Baymax.

"Mayroong kabuuang 7 tao sa Uranium na nakakaalam ng pagsasamantala. Sa labas ng Uranium ay ang 3 auditor na mga kontratista at ang kani-kanilang mga sub cons na maaaring may kamalayan sa kapintasan na ito," mas malayo ang binasa nito. Sa bandang huli sa mensahe, ipinalalagay ng Baymax na "may nag-leak ng impormasyon" na humahantong sa pananamantala ng umaatake sa kahinaan.

Ang Baymax ay hindi tumugon sa mga follow-up na tanong tungkol sa auditor ng Uranium's code.

Tinanggihan din ng Baymax ang anumang pagkakasangkot sa Uranium lampas sa pagiging isang "miyembro ng komunidad" kapag nakikipag-usap sa CoinDesk. Walang ibang "miyembro ng komunidad," bahagi man ng CORE koponan ng Uranium o kung hindi man, ang tumugon sa oras ng pag-print.