UwU Lend reacciona al hackeo de $23 millones, pausa el protocolo y negocia con el Hacker

Hassan Shittu

Última actualización:

11 de junio de 2024 10:31 EDT | 3 min read

Uwu Lend, un protocolo de préstamos fundado por el ex CFO de la Nación Rana, Sifu, sufrió una pérdida de $19.4 millones debido a un ataque de manipulación del oráculo.

Cyvers identificó primero la explotación, revelando una sofisticada serie de tres transacciones ejecutadas en seis minutos. Los atacantes convirtieron Bitcoin envuelto (WBTC) y Dai (DAI) robados en Ether (ETH) después de ser financiados desde Tornado Cash.

UwU Lend Hit by $20 Million Oracle Manipulation Attack, Founder Offers Deal to Hacker

🚨🚨Hey @UwU_Lend, ¡estás siendo atacado!

Hasta ahora la dirección ha recibido alrededor de $14M

¡Más actualizaciones seguirán!

¡Por favor contáctenos para aprender cómo asegurar sus activos digitales!#Cyvers pic.twitter.com/IND77hbTbH

— 🚨 Cyvers s 🚨 (@Cyverss) 10 de junio de 2024

El lunes 10 de junio, UwU Lend, un protocolo de finanzas descentralizadas (DeFi), fue hackeado por casi $20 millones en una explotación de criptomonedas en curso. El incidente fue identificado por primera vez por la firma de seguridad on-chain Cyvers, que notificó a la comunidad con una publicación en la plataforma de redes sociales X:

“¡Oye @UwU_Lend, estás siendo atacado! Hasta ahora, la dirección ha recibido alrededor de $14M…”

Según Cyvers, UwU Lend, que funciona como un mercado de liquidez que permite a los usuarios depositar y pedir prestados activos digitales, fue atacado a través de una serie sofisticada de transacciones. La explotación se intensificó rápidamente, superando los $20 millones en fondos robados en menos de una hora desde el inicio.

El ataque, financiado a través del protocolo de mezcla de criptomonedas Tornado Cash, se llevó a cabo con una velocidad y precisión notables. El hacker realizó tres transacciones maliciosas en tan solo seis minutos, drenando aproximadamente $20 millones. Cyvers reveló que la financiación para el ataque fue recibida de Tornado Cash dos días antes de la explotación.

La violación de seguridad de @UwU_Lend hoy conlleva una pérdida de $19.4 millones.

La causa raíz es un problema con el oráculo de precios. En particular, el activo sUSDe se valora como mediana de múltiples fuentes. Cinco de ellas, es decir, FRAXUSDe, USDeUSDC, USDeDAI, USDecrvUSD y GHOUSDe, fueron manipuladas durante el hackeo.

El robado… pic.twitter.com/xuGGegfDpV

• PeckShield Inc. (@peckshield) 10 de junio de 2024

Según Peckshield, la causa raíz fue un problema de oráculo de precios que involucra el activo sUSDe, valorado en función de una mediana de múltiples fuentes. El atacante manipuló cinco fuentes durante el hackeo, lo que causó la explotación.

Ayer, UwU Lend fue objeto de un exploit que involucró un sofisticado ataque. El equipo reaccionó rápidamente y el protocolo se detuvo en cuestión de minutos. Las tasas de préstamos y depósitos se establecieron en 0% para que las posiciones de los usuarios no se vean afectadas por esta pausa.

— UwU Lend (@UwU_Lend) 11 de junio de 2024

En respuesta al ataque, UwU Lend detuvo rápidamente su protocolo para evitar más pérdidas y estableció las tasas de préstamo y depósito en 0% para proteger las posiciones de los usuarios. El equipo emitió una declaración en su página X, explicando sus acciones inmediatas y la investigación en curso:

“Hemos hecho una oferta al hacker y estamos esperando una respuesta. El protocolo permanecerá en pausa hasta que concluya la investigación. Gracias por su paciencia durante este tiempo.”

CEO de UwU ofrece un trato al hacker Fuente: Etherscan Michael Patryn, también conocido como 0xSifu, el fundador de UwU Lend, ofreció al hacker un trato para devolver aproximadamente $16 millones en criptomonedas a cambio de retirar posibles cargos. Lo declaró en un mensaje en cadena:

“Estamos ofreciendo una recompensa de sombrero blanco del 20% de cualquier fondo tomado. No enfrentará ningún riesgo de que nosotros sigamos adelante con esto y no enfrentará ningún riesgo de problemas con la aplicación de la ley.”

Después de la fecha límite, la recompensa se ofrecería a cualquier persona que pudiera exponer y ayudar a llevar al explotador ante la justicia. Mientras tanto, otra persona envió un mensaje on-chain al hacker con instrucciones sobre cómo mover los fondos sin ser atrapado, agregando otra capa de complejidad a la situación.

Los activos robados, que incluyen cantidades significativas de WETH, WBTC, bLUSD, crvUSD, sDAI, CRV, DAI, USDT y sUSDe, actualmente se encuentran en dos direcciones. La pérdida total estimada es de aproximadamente $23 millones.

Los hackers de cripto están preparados para superar el año 2023 con robos récord en 2024

UwU Lend, que opera como un mercado de liquidez que permite a los usuarios depositar y tomar prestados activos digitales, ha asegurado a los usuarios que el hackeo no afectó a la mayoría de los activos depositados, incluyendo SIFU, VOLTA, FRAX y varios otros mercados.

La auditoría de UwuLend realizada por Peckshield previamente caracterizó el código como ‘bien diseñado e ingenierizado’, sin detectar ‘problemas de alta severidad o críticos’.

Los hackers de cripto podrían estar en camino de superar el año 2023 en cuanto a los activos digitales robados. En el primer trimestre de 2024, los hackers robaron activos digitales valorados en $542,7 millones, un aumento del 42% en comparación con el mismo período en 2023.

El aumento de los fondos robados puede atribuirse a la creciente valoración de las criptomonedas, lo que ha atraído cada vez más a actores malintencionados desde principios de 2024. A medida que el valor de los activos digitales aumenta, también lo hace el incentivo para que los hackers aprovechen las vulnerabilidades dentro del ecosistema criptográfico.

Síguenos en Google News