BSC Tabanlı DeFi Projesi Saldırıya Uğradı: 50 Milyon Dolar Kayıp!

Binance Smart Chain tabanlı merkezi olmayan finans (DeFi) projesi olan Uranium Finance, Çarşamba günü erken saatlerinde saldırıya uğradığını ve 50 milyon dolar kaybedildiğini duyurdu. The Block’ta yer alan bilgilere göre Bitcoin ve Ethereum dahil olmak üzere birçok token Uranium protokolünden çekildi.

Özellikle 80 Bitcoin (4.3 milyon), 1,800 ETH (4.7 milyon), 17.9 milyon BUSD (17.9 milyon), 5.7 milyon USDT (5.7 milyon dolar), 638,000 ADA (0.8 milyon dolar), 26,500 DOT (0.8 milyon dolar), 34,000 wrapped BNB (18 milyon dolar) ve 112,000 U92 token’ı (Uranium’un yerel token’ı) çalındı.

Bu ay piyasaya sürülen Uranium, saldırının protokolün V2.1 sürümüne geçişi sırasında gerçekleştiğini söyledi. Uranium, Uniswap V2 fork’u otomatik bir piyasa yapıcı protokolü ve kullanıcılara günlük temettü vermeyi iddia ediyor.

Uranium’un websitesinde aşağıdaki ifadeler yer alıyor:

Havuzlarımızda ve çiftliklerimizde (farm) diğer tüm DEX’lerde olduğu gibi U92 token’ımızla ödüllendirilirsiniz. Aradaki fark, ikinci bir token oluşturmuş olmamız, U92 muadili olan U235. Bu token’ı cüzdanınızda tutmak, protokolümüzün yatırımcısı olarak her blokta BNB ve BUSD kazanmanızı sağlıyor.

Geçiş sırasında tam olarak yanlış giden şeyin ne olduğu belli değil. Ancak The Block araştırmacısı Igamberdiev’e göre Uranium’un V2 versiyonundaki çift sözleşmelerde bir hata vardı.

Bu hata nedeniyle, herhangi biri çift sözleşmelerle etkileşime girebilir ve neredeyse tüm tokenleri geri çekebilir (Çift sözleşmeler, bir otomatik piyasa yapıcı protokolündeki özel çiftler için akıllı sözleşmelerdir).

DeFi hacker’ı, çaldığı kripto para birimlerini harekete geçirdi

Bu hata istismarcının fonları boşaltmak için Uranium’da bir takas işlevi kullanmasına izin verdi. Saldırgan, çoktan hareket etmeye ve para çekmeye başladı. Kullanıcıların anonim olarak anonim olarak para çekmelerini sağlayan sıfır bilgi kanıtlama teknolojisine dayanan bir Ethereum karıştırıcısı olan Tornado Cash aracılığıyla yaklaşık 6,4 milyon dolar (2,438 ETH) çekildi.

Saldırgan ilk önce DOT ve ADA token’larını Binance Smart Chain tabanlı merkezi olmayan borsa PancakeSwap aracılığıyla ETH ile değiştirdi. Ardından zincirler arası takas protokolü olan AnySwap aracılığıyla ETH’nin BSC sürümünü ETH’nin Ethereum sürümüyle değiştirdiler. Ayrıca bu platformdan 80 Bitcoin’in tamamı geri çekildi.

Igamberdiev’e göre bu durum, içeriden birinin işi olabilir veya bir rugpull olabilir. Uranium sözleşmeleri de bilinmeyen nedenlerle GitHub’dan kaldırıldı