Skip to content Skip to sidebar Skip to footer

Uranium Finance, một dự án tài chính phi tập trung (DeFi) dựa trên Binance Smart Chain, vừa thông báo bị hack vào đầu ngày 28/4 và mất 50 triệu USD.

Theo nhà phân tích Igor Igamberdiev của The Block Research, một số đồng coin, bao gồm Bitcoin và Ether đã bị rút khỏi giao thức Uranium.

Cụ thể, 80 bitcoin (4,3 triệu USD), 1.800 ETH (4,7 triệu USD), 17,9 triệu BUSD (17,9 triệu USD), 5,7 triệu USDT (5,7 triệu USD), 638.000 ADA (0,8 triệu USD), 26.500 DOT (0,8 triệu USD), 34.000 wrapped BNB ( 18 triệu USD) và 112.000 token U92, một token gốc của Uranium, đã bị rút sạch.

Uranium, mới ra mắt trong tháng này, cho biết vụ tấn công diễn ra trong quá trình nâng cấp giao thức lên phiên bản V2.1.

Uranium là một giao thức tạo thị trường tự động (AMM), được phân tách từ Uniswap V2 và tuyên bố chia cổ tức hàng ngày cho người dùng.

“Trong các pool và farm của chúng tôi, bạn được thưởng bằng token U92, giống như mọi [sàn giao dịch phi tập trung] DEX khác. Sự khác biệt là chúng tôi đã tạo token thứ hai, bản sao của U92: U235. Giữ token này trong ví của bạn giúp bạn trở thành nhà đầu tư của AMM của chúng tôi, bạn sẽ kiếm được cổ tức bằng BNB và BUSD mỗi khối,” theo trang web của Uranium.

Hiện chưa rõ điều gì đã xảy ra trong quá trình nâng cấp, nhưng theo Igamberdiev, các hợp đồng cặp trong phiên bản V2 của Uranium đã có một lỗi.

Do lỗi này, bất kỳ ai cũng có thể tương tác với các hợp đồng cặp và rút gần như tất cả các token. (Hợp đồng cặp là hợp đồng thông minh cho các cặp đặc biệt trong AMM, chẳng hạn như WETH-USDC).

Về cơ bản, lỗi này cho phép hacker sử dụng chức năng hoán đổi trong Uranium để rút tiền.

Hacker đã bắt đầu di chuyển và rút tiền. Khoảng 6 triệu USD hay 2.438 ETH đã được chuyển đến Tornado Cash, một máy trộn Ethereum dựa trên công nghệ zero-knowledge proof, nơi cho phép người dùng rút tiền mà không để lộ danh tính.

Kẻ tấn công đã hoán đổi token DOT và ADA sang ETH thông qua PancakeSwap – sàn giao dịch phân quyền dựa trên Binance Smart Chain (BCS). Sau đó, tên này tiếp tục hoán ETH phiên bản BCS sang phiên bản Ethereum thông qua AnySwap, một giao thức hoán đổi cross-chain.

Tất cả 80 Bitcoin cũng đã được hacker tẩu tán thông qua AnySwap.

Theo Igamberdiev, đây có thể là một vụ tấn công nội gián hoặc kéo thảm (rug pull), vì phiên bản V2 của Uranium có một lỗi và team của dự án đã không thực hiện một cuộc tấn công mũ trắng trước khi chuyển sang phiên bản V2.1.

Kho lưu trữ hợp đồng Uranium cũng đã bị xóa khỏi GitHub vì một số lý do không xác định.

 – Luois – 

Viết bình luận