venerdì, Giugno 18, 2021
Disponibile su Google Play
HomeCriptovaluta50 milioni di dollari rubati dal protocollo Uranium Finance su Binance Smart...

50 milioni di dollari rubati dal protocollo Uranium Finance su Binance Smart Chain

Uranium Finance, una market maker automatizzato su Binance Smart Chain, ha segnalato un incidente di sicurezza risultato in una perdita da circa 50 milioni di dollari.

In un tweet pubblicato mercoledì, Uranium ha rivelato che l’exploit ha preso di mira la migrazione del token alla versione v2.1 del protocollo, sottolineando che il team è in contatto con il team di sicurezza di Binance per mitigare i danni:

“La migrazione di Uranium ha subito un exploit, il seguente indirizzo contiene 50 milioni di dollari. L’unica cosa che conta è mantenere i fondi su BSC, chiediamo a tutti di twittare questo indirizzo a Binance immediatamente chiedendo loro di interrompere i trasferimenti.”

(1/2)‼️ Uranium migration has been exploited, the following address has 50m in it The only thing that matters is keeping the funds on BSC, everyone please start tweeting this address to Binance immediately asking them to stop transfers.

— Uranium Finance (@UraniumFinance) April 28, 2021

L’hacker avrebbe sfruttato un bug nella logica del modificatore di saldi usato da Uranium, moltiplicando per 100 il saldo del progetto. Questo errore ha consentito al responsabile di sottrarre 50 milioni di dollari al progetto. Al momento della stesura, lo smart contract creato dall’hacker contiene ancora 37,2 milioni di dollari in Binance Coin (BNB) e Binance USD (BUSD).

I fondi rubati rimanenti includono 80 Bitcoin (BTC), 1.800 Ether (ETH), 26.500 Polkadot (DOT), 5,7 milioni di Tether (USDT), 638.000 Cardano (ADA) e 112.000 u92, il token nativo del progetto.

I dettagli forniti da BscScan mostrano che l’hacker ha convertito i token ADA e DOT in ETH, portando il bottino di Ether a circa 2.400 ETH, pari a 5,7 milioni di dollari; successivamente ha spostato i fondi usando Tornado Cash, uno strumento per la privacy su Ethereum.

I dati di Etherscan mostrano i fondi inviati in lotti da 100 ETH, attraverso il ponte cross-chain dell’exchange decentralizzato AnySwap per migrare i fondi da BSC a Ethereum.

Fonte: Etherscan

Stando a quanto annunciato da Uranium, il progetto ha già contattato il team di sicurezza di Binance per impedire all’hacker di spostare altri fondi al di fuori dell’ecosistema BSC.

Un portavoce di Uranium ha rivelato che il bug non è ancora stato risolto e il team ha consigliato agli utenti di non fornire liquidità sul protocollo e prelevare i propri fondi. È stato inoltre creato un gruppo su Telegram per le vittime dell’attacco informatico, promettendo di fornire aggiornamenti sui progressi verso il recupero dei fondi sottratti.

L’hack di mercoledì è già il secondo subito in rapida successione dal progetto Uranium. Nei primi giorni di aprile, degli hacker hanno sfruttato un exploit in una delle pool della piattaforma, sottraendo circa 1,3 milioni di dollari in BUSD e BNB.

L’incidente ha portato alla prima migrazione verso la v2 meno di due settimane fa. In un annuncio precedente, il team di sviluppo di Uranium ha dichiarato che i contratti della v2 erano stati sottoposti a audit da diverse entità, e di aver imparato dai propri errori.

Nel frattempo, dilagano le speculazioni che considerano l’hack un inside job, vista la decisione improvvisa di progettare un altro aggiornamento a soli 11 giorni dal completamento della migrazione alla v2.

“Oggi Uranium Finance è stato colpito. Gli sviluppatori di Uranium avevano appena implementato la v2 dei loro contratti, e 11 giorni più tardi hanno chiesto a tutti di migrare sulla v2.1. Una tempistica piuttosto strana per un aggiornamento, no?”

Today @UraniumFinance got rekt. The Uranium devs had just deployed v2 of their contracts, and 11 days later they asked everyone to migrate to v2.1. Pretty odd timing for an upgrade, right?

Here’s how the bug worked. ⬇️

— Kyle “1B TVL” Kistner | Fulcrum | bZx (@BeTheb0x) April 28, 2021

Gli attacchi informatici associati a bug all’interno di smart contract sono ormai all’ordine del giorno nella finanza decentralizzata, anche per i progetti completamente verificati, come nel caso di MonsterSlayer Finance verso l’inizio di aprile. A marzo, un clone di Yearn.finance su BSC, chiamato Meerkat, ha truffato i suoi utenti sottraendo loro 31 milioni di dollari.

Qualche giorno più tardi, gli sviluppatori del progetto hanno rivelato che il presunto “rug pull” era un test, spiegando i piani per restituire i fondi. Anche TurtleDex, un altro progetto basato su BSC, ha eseguito un “exit scam” sottraendo oltre 9.000 token BNB raccolti durante la pre-vendita.

Covid Abruzzo Basilicata Calabria Campania Emilia Romagna Friuli Venezia Giulia Lazio Liguria Lombardia Marche Molise Piemonte Puglia Sardegna Sicilia Toscana Trentino Alto Adige Umbria Valle d’Aosta Veneto Italia Agrigento Alessandria Ancona Aosta Arezzo Ascoli Piceno Asti Avellino Bari Barletta-Andria-Trani Belluno Benevento Bergamo Biella Bologna Bolzano Brescia Brindisi Cagliari Caltanissetta Campobasso Carbonia-Iglesias Caserta Catania Catanzaro Chieti Como Cosenza Cremona Crotone Cuneo Enna Fermo Ferrara Firenze Foggia Forlì-Cesena Frosinone Genova Gorizia Grosseto Imperia Isernia La Spezia L’Aquila Latina Lecce Lecco Livorno Lodi Lucca Macerata Mantova Massa-Carrara Matera Messina Milano Modena Monza e della Brianza Napoli Novara Nuoro Olbia-Tempio Oristano Padova Palermo Parma Pavia Perugia Pesaro e Urbino Pescara Piacenza Pisa Pistoia Pordenone Potenza Prato Ragusa Ravenna Reggio Calabria Reggio Emilia Rieti Rimini Roma Rovigo Salerno Medio Campidano Sassari Savona Siena Siracusa Sondrio Taranto Teramo Terni Torino Ogliastra Trapani Trento Treviso Trieste Udine Varese Venezia Verbano-Cusio-Ossola Vercelli Verona Vibo Valentia Vicenza Viterbo

YouGoNews