La plateforme d'échange DeFi Binance Chain, Uranium Finance, perd 50 millions de dollars suite à une exploitation de la cryptomonnaie.

Un clone de Binance Smart Chain Uniswap , Uranium Finance, a perdu 50 millions de dollars en jetons tôt mercredi matin dans un exploit.

L'attaquant a exploité une vulnérabilité présente dans les contrats v2 d'Uranium depuis la mise à niveau de la plateforme il y a plus d'une semaine. Après avoir envoyé le minimum de jetons requis dans les « contrats de paires » d'Uranium, l'attaquant a vidé les réserves de liquidité de plusieurs paires de jetons ; un zéro mal placé dans le champ solde du contrat (ou plutôt, l'absence d' un ONE dans une section gérant les réserves) a ouvert la voie à l'attaque.

Sur les 50 millions de dollars volés, les pools du jeton blockchain de Binance (BNB) et de son stablecoin (BUSD) ont chacun perdu 18 millions de dollars. Les pools Ethereum et BTCB (version « wrapped » de Binance Chain) Bitcoin) ont collectivement perdu environ 9 millions de dollars en jetons. 6,7 millions de dollars supplémentairesUSDTet 1,7 million de dollars enDOT,ADAet le jeton d'Uranium a également disparu des autres pools.

Sur le même sujet : Sushiswap, qui fuit les frais Ethereum , est désormais disponible sur Binance Smart Chain, Fantom et d'autres plateformes.

Après le piratage, le BTCB a été échangé contre du vrai BTC, et le ETH est dans un mélangeur Ethereum appelé Tornado Cash, selonau chercheur de The Block, Igor Igamberdiev.

Notamment,selon un exploit passé sur la blockchain BSC de Binance, le BNB et le BUSD pourraient être récupérés grâce à un retour en arrière, bien que Binance n'ait fait aucune annonce à ce sujet.

« Toute FARM est en danger »

Cette vulnérabilité est présente dans tous les pools Uranium v2.Message épinglé sur Telegrampar un membre anonyme de la communauté Uranium, Baymax avertit les utilisateurs de « STOPPER ajouter des liquidités... et de supprimer des liquidités si vous le pouvez » car l'exploit laisse toujours des millions de dollars en jetons en danger dans ces contrats v2.

Baymax conseille aux utilisateurs de migrer vers les contrats v2.1, qui incluent un correctif pour la vulnérabilité. Il est à noter que l'attaque a eu lieu deux heures avant la mise en ligne de la v2.1, alors que l'exploit était actif depuis la dernière mise à jour d'Uranium vers la v2, il y a un peu plus d'une semaine.

Sur le même sujet : PancakeSwap renforce l'avance de Binance Smart Chain sur Ethereum en termes de transactions

« Comme vous le savez tous, nous avons commandé un audit, et parmi les conclusions figurait un problème de faible gravité. Les développeurs ont creusé plus profondément et ont découvert un problème mettant en danger toute la FARM », peut-on lire dans le message épinglé par Baymax.

« Au total, sept personnes chez Uranium étaient au courant de l'exploitation. En dehors d'Uranium, il y aurait trois auditeurs contractuels et leurs sous-traitants respectifs qui pourraient être au courant de cette faille », peut-on lire plus bas. Plus loin dans le message, Baymax émet l'hypothèse que « quelqu'un a divulgué des informations » qui ont permis à l'attaquant d'exploiter la vulnérabilité.

Baymax n’a pas répondu aux questions complémentaires concernant l’auditeur du code d’Uranium.

Baymax a également nié toute implication avec Uranium, au-delà de son statut de « membre de la communauté », lors d'un entretien avec CoinDesk. Aucun autre « membre de la communauté », qu'il fasse partie de l'équipe CORE d'Uranium ou non, n'a répondu à la mise sous presse.