Binance Smart Chain tabanlı merkezi olmayan finans (DeFi) projesi olan Uranium Finance, Çarşamba günü erken saatlerinde atağa uğradığını ve 50 milyon dolar kaybedildiğini duyurdu. The Block’ta yer alan bilgilere nazaran Bitcoin ve Ethereum dahil olmak üzere birçok token Uranium protokolünden çekildi.
Bilhassa 80 Bitcoin (4.3 milyon), 1,800 ETH (4.7 milyon), 17.9 milyon BUSD (17.9 milyon), 5.7 milyon USDT (5.7 milyon dolar), 638,000 ADA (0.8 milyon dolar), 26,500 DOT (0.8 milyon dolar), 34,000 wrapped BNB (18 milyon dolar) ve 112,000 U92 token’ı (Uranium’un mahallî token’ı) çalındı.
Bu ay piyasaya sürülen Uranium, taarruzun protokolün V2.1 sürümüne geçişi sırasında gerçekleştiğini söyledi. Uranium, Uniswap V2 fork’u otomatik bir piyasa yapan protokolü ve kullanıcılara günlük temettü vermeyi tez ediyor.
Uranium’un websitesinde aşağıdaki sözler yer alıyor:
Havuzlarımızda ve çiftliklerimizde (farm) öbür tüm DEX’lerde olduğu üzere U92 token’ımızla ödüllendirilirsiniz. Ortadaki fark, ikinci bir token oluşturmuş olmamız, U92 muadili olan U235. Bu token’ı cüzdanınızda tutmak, protokolümüzün yatırımcısı olarak her blokta BNB ve BUSD kazanmanızı sağlıyor.
Geçiş sırasında tam olarak yanlış giden şeyin ne olduğu aşikâr değil. Lakin The Block araştırmacısı Igamberdiev’e nazaran Uranium’un V2 versiyonundaki çift kontratlarda bir yanılgı vardı.
Bu yanılgı nedeniyle, rastgele biri çift kontratlarla etkileşime girebilir ve neredeyse tüm tokenleri geri çekebilir (Çift kontratlar, bir otomatik piyasa yapan protokolündeki özel çiftler için akıllı sözleşmelerdir).
DeFi hacker’ı, çaldığı kripto para ünitelerini harekete geçirdi
Bu kusur istismarcının fonları boşaltmak için Uranium’da bir takas fonksiyonu kullanmasına müsaade verdi. Saldırgan, çoktan hareket etmeye ve para çekmeye başladı. Kullanıcıların anonim olarak anonim olarak para çekmelerini sağlayan sıfır bilgi kanıtlama teknolojisine dayanan bir Ethereum karıştırıcısı olan Tornado Cash aracılığıyla yaklaşık 6,4 milyon dolar (2,438 ETH) çekildi.
Saldırgan birinci evvel DOT ve ADA token’larını Binance Smart Chain tabanlı merkezi olmayan borsa PancakeSwap aracılığıyla ETH ile değiştirdi. Akabinde zincirler ortası takas protokolü olan AnySwap aracılığıyla ETH’nin BSC sürümünü ETH’nin Ethereum sürümüyle değiştirdiler. Ayrıyeten bu platformdan 80 Bitcoin’in tamamı geri çekildi.
Igamberdiev’e nazaran bu durum, içeriden birinin işi olabilir yahut bir rugpull olabilir. Uranium mukaveleleri de bilinmeyen nedenlerle GitHub’dan kaldırıldı