基于币安链的DeFi交易所Uranium Finance受黑客攻击损失5000万美元

基于币安链的DeFi交易所Uranium Finance受黑客攻击损失5000万美元

暴走时评:周三凌晨,币安智能链上一家模仿Uniswap的交易所Uranium Finance因为一个漏洞损失了5000万美元的代币。到目前为止,在黑客的非法所得中,只有总价值900万美元的ETH和BTC成功转移出了币安智能链。

翻译:Maya

周三凌晨,币安智能链上一家模仿Uniswap的交易所Uranium Finance因为一个漏洞损失了5000万美元的代币。

攻击者利用了一个漏洞,该漏洞自一周前交易所升级以来一直存在于Uranium V2的合约中。在向Uranium的“交易对合约”发送最低要求的代币后,攻击者抽干了多个代币对的流动性池;合约余额字段中的一个错位的零(或者说,在管理储备的部分缺少一个)为攻击载体创造了缺口。

在被盗的5000万美元中,币安区块链的原生代币(BNB)和稳定币(BUSD)的资金池各损失1800万美元。以太坊和BTCB池(币安链版的比特币(BTC,-2.14%))总共损失了价值约900万美元的代币。另外670万美元的USDT(-0.07%)和170万美元的DOT(-1.78%)、ADA(-0.51%)和Uranium自己的代币也从其他池中消失了。

根据The Block研究员Igor Igamberdiev的说法,黑客攻击后,BTCB已经被换成了真正的BTC,而ETH(+2.56%)被放在一个名为Tornado Cash的以太坊混合器中。

值得注意的是,根据过去BSC上针对漏洞的黑客事件,BNB和BUSD可以通过回滚来恢复,尽管币安没有就此事发布公告。

“整个农场面临风险”

这个漏洞存在于所有Uranium v2池中。匿名的Uranium社区成员Baymax在Telegram上发布的消息警告用户“停止增加流动性……如果可以的话,消除流动性”,因为这个漏洞仍然使这些v2合约中数百万美元的代币面临风险。

Baymax建议用户迁移到v2.1合约,其中包括对该漏洞的修复。值得注意的是,这次攻击是在v2.1版上线前两小时发生的,尽管自Uranium上次升级到v2版以来,该漏洞在一周多以前就已经存在。

“如你们所知,我们委托进行了一次审计,发现的问题中,有一个严重性不高的问题。开发人员深入挖掘,发现了一个让整个农场面临风险的问题,” Baymax发布的公开信息写道。

“Uranium总共有7个人知道这个漏洞。在Uranium外部,3个审计师承包商和他们各自的分管人员,他们可能知道这个漏洞,” 公开信息中提到。在这些信息的后面,Baymax假设“有人泄露了漏洞的存在”,导致攻击者利用了这个漏洞。

Baymax没有回应有关Uranium代码审计师的后续问题。

Baymax在与CoinDesk交谈时也否认除了作为“社区成员”之外还与Uranium有任何关系。截至记者发稿时,无论是Uranium的核心团队还是其他成员,都没有作出回应。