Le projet DeFi le plus récemment piraté ne pouvait même pas copier et coller le code d’Uniswap et Sushiswap

Please follow and like us:
Sécurisez votre patrimoine: investissez dans un fonds d'indice cryptographique

Plus tôt cette semaine, Uranium Finance, un projet DeFi basé sur Binance Smart Chain, a affirmé avoir perdu 50 millions de dollars dans un exploit de sa plate-forme, qui avait largement emprunté du code à Uniswap, un échange crypto décentralisé de premier plan fonctionnant sur la blockchain Ethereum.

Un protocole AMM (Automate Market Maker), c’est un fork d’Uniswap V2, avec l’avantage supplémentaire de fournir aux utilisateurs des dividendes quotidiens à ses utilisateurs.

Les développeurs d’Uranium n’avaient déployé que récemment la version 2 de leurs contrats, à peine onze jours avant que tout le monde ne migre vers la v2.1. Le projet a tweeté sur l’exploit:

«La migration de l’uranium a été exploitée, l’adresse suivante en contient 50 millions. La seule chose qui compte est de garder les fonds sur BSC, tout le monde, s’il vous plaît, commencez à tweeter cette adresse à Binance en leur demandant immédiatement d’arrêter les transferts.»

Ils ont ensuite apparemment pris contact avec le groupe Telegram pour les utilisateurs et les développeurs de Binance, Binance Chain (BC) et Binance Smart Chain (BSC) – Groupe de discussion sur les développements, cherchant de l’aide:

financement de l'uranium

Nous ne pouvons que supposer que c’était la publication des représentants du projet. Dans l’ensemble, voici une liste de ce qui a été volé:

  • 80 bitcoins (4,3 millions de dollars)
  • 1800 ETH (4,7 millions de dollars)
  • 17,9 millions de BUSD (17,9 millions de dollars)
  • 5,7 millions USDT (5,7 millions USD)
  • 638 000 ADA (0,8 million de dollars)
  • 26 500 DOT (0,8 million de dollars)
  • 34000 BNB emballés (18 millions de dollars)
  • 112000 jetons U92

Avant d’interagir avec Uranium, qui a été lancé plus tôt ce mois-ci, l’attaquant a envoyé le montant minimum de chaque jeton pour coupler des contrats, puis a utilisé un «échange de fonction ()» de bas niveau, qui est une fonction de programmation informatique qui pourrait être utilisée pour drainer les deux réserves.

«Dans nos piscines et fermes, vous êtes récompensé par notre token U92, comme tous les autres DEX [decentralized exchange]», Lit le site Web d’Uranium. «La différence est que nous avons créé un deuxième jeton, l’homologue U92: U235. Le fait de détenir ce jeton sur votre portefeuille fait de vous un investisseur de notre AMM, ce qui vous permet de gagner des dividendes en BNB et BUSD à chaque bloc. »

Selon l’analyste de recherche de The Block, Igor Igamberdiev, les contrats de paire dans la version V2 d’Uranium contenaient le bogue qui a permis l’exploit. Ils l’ont fait en permettant à quiconque d’interagir avec les contrats de paire, qui sont des contrats intelligents pour échanger des paires dans un AMM et retirer tous les jetons.

L’exploitant a utilisé une fonction de swap dans Uranium pour drainer les fonds, qui ont ensuite été immédiatement transférés – 6,4 millions de dollars ou 2438 ETH avaient été retirés via Tornado Cash, un mélangeur Ethereum permettant aux utilisateurs de retirer des fonds de manière anonyme. Le pirate a d’abord échangé des jetons DOT et ADA contre ETH via Pancake, l’échange décentralisé basé sur Binance Smart Chain.

Les 80 BTC ont été retirés par le pirate informatique en utilisant AnySwap, qui est un protocole d’échange inter-chaînes entièrement décentralisé. Les utilisateurs échangent entre toutes les pièces de n’importe quelle blockchain.

De manière suspecte, le référentiel des contrats d’uranium a été supprimé de GitHub. Il n’y a eu aucune explication quant à la raison. Pourtant, vous pouvez toujours voir le code problématique avec un peu de recherche.

Kyle Kistner, co-fondateur de bZx, sur le code original du repo Sushi que Uranium a fourché:

Et le code des développeurs d’Uranium:

En bref, Uranium Finance est devenu trop créatif avec du code emprunté. Au moins 57 millions de dollars ont été pris dans cet exploit, ce qui en fait le deuxième plus grand exploit DeFi derrière le piratage de 59 millions de dollars d’EasyFi. Uranium Finance avait déjà subi un exploit de son contrat de récompenses plus tôt ce mois-ci en raison de vulnérabilités dans l’un des contrats intelligents du projet.

Kyle Kistner, le co-fondateur de bzX, a souligné le fait que de petits changements dans le contrat UraniumPair avaient des effets dramatiques sur le comportement du code. Il note également que l’équipe Uranium était apparemment au courant de l’exploit à l’avance. “Si vous différez v2 et v2.1, le seul changement est de supprimer l’exploit”, a-t-il tweeté.

Pour résumer le hack, Ape Developer, ChartEx Pro Core Developer:

«Cela ressemble à une faute de frappe de 50 millions de dollars, pas vraiment un hack intéressant. Juste une erreur coûteuse. Quelque chose qui aurait dû être trivial à ramasser avec des tests unitaires très basiques. Il ressort clairement de la fonction swap qu’ils ont bifurqué celle d’Uniswap (commentaires similaires, même ordre, code identique). Le copier-coller de morceaux de différents protocoles conduit à des résultats comme celui-ci. “

Message d’invité par Crypto Shark de ChartEx

Avec une formation en informatique couvrant l’ingénierie logicielle, l’analyse commerciale, l’intelligence et l’architecture d’infrastructure, CryptoShark a d’abord trouvé l’espace de crypto-monnaie en exploitant Ethereum à partir d’un ordinateur de jeu de rechange, puis a développé la populaire plate-forme de cartographie décentralisée, ChartEx. Travaillant dans l’industrie FinTech, il n’a pas tardé à appliquer ses compétences analytiques, associées à une formation en génie logiciel, pour créer des outils permettant d’analyser les données de négociation des bourses émergentes. Cela a conduit CryptoShark à créer ChartEx, l’un des principaux fournisseurs de graphiques en chandeliers complets et d’autres outils de négociation largement utilisés pour les marchés des plus grandes bourses du secteur.

En savoir plus →

Obtenez un bord sur le marché des crypto-actifs

Accédez à plus d’informations cryptographiques et de contexte dans chaque article en tant que membre payant de CryptoSlate Edge.

Analyse en chaîne

Instantanés de prix

Plus de contexte

Inscrivez-vous maintenant pour 19 $ / mois Découvrez tous les avantages

Sécurisez votre patrimoine: investissez dans un fonds d'indice cryptographique

Aimez ce que vous voyez? Abonnez-vous pour les mises à jour.


Crédit: Lien source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *