[Cập nhật] Giao thức UwU Lend lại bị tấn công, tổng thất thoát gần 27 triệu USD

Kẻ tấn công đã thực hiện 2 lần tấn công trong vòng 3 ngày để “đánh cắp” gần 27 triệu USD tài sản tiền mã hóa trong giao thức tài chính phi tập trung UwU Lend.

[Cập nhật] Giao thức UwU Lend lại bị tấn công, tổng thất thoát gần 27 triệu USD

Cập nhật chiều ngày 13/06/2024:

Nhiều đơn vị bảo mật on-chain Cyvers, CertiK, Beosin, SlowMist đồng loạt đưa tin, UwU Lend tiếp tục trở thành mục tiêu bị tấn công bảo mật thêm lần nữa bởi hacker.

Đáng nói, kẻ tấn công lần thứ hai lại chính là “thủ phạm” trong đợt đầu tiên diễn ra hôm 10/06/2024 gây thất thoát gần 20 triệu USD tài sản trên giao thức.

Theo báo cáo, lần tấn công mới nhất đã khiến cho giao thức DeFi này thiệt hại thêm 3,72 triệu USD. Tại thời điểm bài viết, tổng giá trị tài sản tiền mã hóa của UwU Lend đã bị thất thoát sau 2 lần tấn công đã lên tới gần 27 triệu USD, bao gồm:

• 481,357 Wrapped Ether (WETH) trị giá 1,7 triệu USD
• 17,629 Wrapped Bitcoin (WBTC) trị giá 1,19 triệu USD
• 499.254 bLUSD trị giá 592,6 nghìn USD
• 233.819 stablecoin crvUSD của Curve Finance, trị giá 233,5 nghìn USD
• 1,39 triệu token sDAI của Spark Protocol, trị giá 1,51 triệu USD
• 25,35 triệu token CRV trị giá 9,38 triệu USD
• 3,52 triệu stablecoin DAI
• 4,22 triệu stablecoin USDT của nhà phát hành Tether;
• 486.455 token sUSDe – Phiên bản giấy chứng nhận có thể hưởng mức lợi tức cao từ việc stake stablecoin USDe của Ethena – trị giá khoảng 525 nghìn USD.

🚨SlowMist Security Alert🚨

We have detected that @UwU_Lend has suffered another loss of $3.72M.https://t.co/ttLSq0m18u

As always, stay vigilant! pic.twitter.com/6tz2e5NDwx

— SlowMist (@SlowMist_Team) June 13, 2024

Bài viết gốc:

Theo báo cáo lần đầu tiên từ công ty bảo mật on-chain Cyvers, họ đã phát hiện ra giao thức UwU Lend có một lỗ hổng bảo mật và đang bị kẻ xấu tận dụng để đánh cắp 14 triệu USD tài sản tiền mã hóa trên nền tảng.

🚨ALERT🚨Hey @UwU_Lend, you are being attacked!

So far address got around $14M

More update will follow!

Please contact us to learn how to secure your digital assets!#CyversAlert pic.twitter.com/IND77hbTbH

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) June 10, 2024

Chỉ trong vòng chưa đầy một giờ sau cảnh báo của Cyvers, kẻ tấn công không rõ danh tính đã liên tục “bòn rút” giao thức UwU với tổng giá trị lên tới gần 20 triệu USD thông qua nhiều giao dịch.

Dữ liệu on-chain cho thấy một địa chỉ ví đã được sử dụng để rút hàng loạt các token bao gồm Wrapped Ether (WETH), Wrapped Bitcoin (WBTC), và stablecoin trước khi chuyển toàn bộ số này sang sàn DEX Uniswap để hoán đổi thành ETH.

Beosin xác định kẻ tấn công đã sử dụng phương thức flash loan để thao túng các oracles giá của stablecoin sUSDe – Phiên bản giấy chứng nhận có thể hưởng mức lợi tức cao từ việc stake stablecoin USDe của Ethena – trên nền tảng.

Tuy nhiên, các đơn vị bảo mật cho biết hacker chưa hề có ý định ngừng lại mà vẫn đang thực hiện hành vi đánh cắp của mình, dự báo giá trị của vụ hack sẽ tiếp tục tăng lên trong thời gian ngắn.

Cyvers còn tiết lộ địa chỉ ví của kẻ tấn công có liên quan đến khoản tài trợ nhận được từ giao thức trộn tiền Tornado Cash chỉ 2 ngày trước đó. 

🚨ALERT🚨Our system has detected a series of suspicious transactions involving @UwU_Lend!

Attacker has executed 3 transactions and was able to get around $19.5M. But hack is still ongoing! Amount might increase. Right now attacker is swapping stolen digital assets to $ETH.… https://t.co/8cAB2NWwKV pic.twitter.com/V2RrqYagD2

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) June 10, 2024

Sau khi nhận được thông tin, dự án UwU Lend đã cho tạm dừng hoạt động giao thức để đảm bảo tài sản không bị thất thoát tiếp và thực hiện điều tra tình hình kỹ hơn. 

The protocol was paused a little under an hour ago while the team investigates the situation. Please rest assured that we were made aware of the situation immediately and are taking all necessary steps, doing our best here. Stay tuned for further updates.

— UwU Lend (@UwU_Lend) June 10, 2024

UwU Lend là một giao thức tài chính phi tập trung (DeFi) hoạt động như một thị trường thanh khoản, cho phép người dùng gửi và vay tài sản kỹ thuật số.

Dự án này là một bản fork của Aave, hỗ trợ cho vay stablecoin MIM theo thuật toán, và được sáng lập bởi Michael Patryn – nhà đồng sáng lập sàn giao dịch tiền mã hóa QuadrigaCX của Canada đã sụp đổ, hay thường được biết tới với biệt danh “0xSifu”.

QuadrigaCX là một sàn giao dịch vô cùng tai tiếng đã dừng hoạt động vào năm 2019 vì CEO sàn là ông Gerald Cotten đột tử – người duy nhất nắm giữ private key truy cập vào ví lạnh của sàn, đồng nghĩa với việc toàn bộ hơn 190 triệu USD tài sản người dùng được giữ trên QuadrigaCX đã không thể nào có thể được phục hồi. FBI cũng tham gia điều tra sự việc của sàn QuadrigaCX.

Trong khi đó, nhà đồng sáng lập QuadrigaCX Michael Patryn – người có nhiều tiền án hình sự “bất hảo” về lừa đảo – lại biến mất khỏi sự quan tâm của dư luận. 

Điều đáng chú ý là sàn QuadrigaCX sụp đổ ngay sau khi có thông tin một địa chỉ ví được liên kết với Patryn đã chuyển số ETH trị giá 5,5 triệu USD cho máy trộn Tornado Cash vào năm 2022, trong khi anh ta là thủ quỹ của Wonderland DAO.

Vụ sụp đổ của một trong những sàn giao dịch Bitcoin lớn nhất tại Canada đã trở thành nguồn cảm hứng cho gã khổng lồ phát trực tuyến Netflix phát hành bộ phim tài liệu về câu chuyện của QuadrigaCX có tên “Trust no One: The Hunt for the Crypto King” vào năm 2022.