Binance Chain DeFi Exchange Uranium Finanças perde US$ 50 milhões em exploração

Um clone do Binance Smart Chain Uniswap , o Uranium Finanças, perdeu US$ 50 milhões em tokens na manhã de quarta-feira em uma exploração.

O invasor aproveitou uma vulnerabilidade que estava presente nos contratos v2 do Uranium desde que a exchange fez o upgrade há mais de uma semana. Após enviar os tokens mínimos necessários para os "contratos de pares" do Uranium, o invasor drenou os pools de liquidez para vários pares de tokens; um zero mal colocado no campo de saldo do contrato (ou melhor, a falta de um em uma seção que gerencia reservas) criou a abertura para o vetor de ataque.

Dos US$ 50 milhões roubados, os pools para o token de blockchain da Binance (BNB) e sua stablecoin (BUSD) perderam US$ 18 milhões em fundos cada. Os pools Ethereum e BTCB (versão da Binance Chain de "wrapped'' Bitcoin) perderam coletivamente cerca de US$ 9 milhões em tokens. Outros US$ 6,7 milhões emUSDTe US$ 1,7 milhões emDOT,ADAe o próprio token do Uranium também desapareceu de outros pools.

Leia Mais: Sushiswap, fugindo das taxas do Ethereum , agora está ativo na Binance Smart Chain, Fantom, outros

Após o hack, o BTCB foi trocado por BTC real, e o ETH está em um mixer Ethereum chamado Tornado Cash, de acordo comao pesquisador do The Block, Igor Igamberdiev.

Notavelmente,por uma exploração passada na blockchain BSC da Binance, o BNB e o BUSD podem ser recuperados por meio de uma reversão, embora a Binance não tenha feito nenhum anúncio sobre o assunto.

'Toda a FARM em risco'

Esta vulnerabilidade está presente em todos os pools Uranium v2. AMensagem fixada no Telegrampor membro anônimo da comunidade Uranium Baymax alerta os usuários para "PARAREM de adicionar liquidez... e removerem liquidez se puderem" porque a exploração ainda deixa milhões de dólares em tokens em risco nesses contratos v2.

A Baymax aconselha os usuários a migrarem para os contratos v2.1, que incluem uma correção para a vulnerabilidade. Notavelmente, o ataque ocorreu duas horas antes do v2.1 ir ao ar, embora o exploit estivesse aberto desde a última atualização do Uranium para o v2, há pouco mais de uma semana.

Leia Mais: PancakeSwap amplia a liderança da Binance Smart Chain sobre Ethereum em transações

"Como todos sabem, encomendamos uma auditoria, e entre as descobertas estava um problema de baixa gravidade. Os desenvolvedores cavaram mais fundo e encontraram um problema que colocava toda a FARM em risco", diz a mensagem fixada de Baymax.

"Há um total de 7 pessoas na Uranium que sabiam da exploração. Fora da Uranium estariam os 3 auditores contratados e seus respectivos subcontratados que podem estar cientes dessa falha", diz mais abaixo. Mais adiante na mensagem, Baymax levanta a hipótese de que "alguém vazou informações" que levaram o invasor a explorar a vulnerabilidade.

A Baymax não respondeu às perguntas de acompanhamento sobre o auditor do código da Uranium.

Baymax também negou qualquer envolvimento com o Uranium além de ser um "membro da comunidade" ao falar com o CoinDesk. Nenhum outro "membro da comunidade", seja parte da equipe CORE do Uranium ou não, respondeu até o momento da publicação.