Uranium Finance, uma plataforma automatizada de market maker na Binance Smart Chain, relatou um incidente de segurança que resultou em uma perda de cerca de US$ 50 milhões.

Através de um tuíte na quarta-feira, a Uranium revelou que um exploit teve como alvo seu evento de migração de token para v2.1 e que a equipe estava em contato com a equipe de segurança da Binance para mitigar a situação.

O hacker supostamente se aproveitou de bugs na lógica do modificador de equilíbrio da Uranium que inflou o equilíbrio do projeto por um fator de 100.

Esse erro teria permitido ao invasor roubar US$ 50 milhões do projeto. No momento da redação deste artigo, o contrato criado pelo hacker ainda detém US$ 36,8 milhões em Binance Coin (BNB) e Binance USD (BUSD).

Os fundos roubados restantes incluem 80 Bitcoin (BTC), 1.800 Ether (ETH), 26.500 Polkadot (DOT), 5,7 milhões de Tether  (USDT), bem como 638.000 Cardano (ADA) e 112.000 u92, a moeda nativa do projeto.

Detalhes do BscScan mostram o invasor trocando os tokens ADA e DOT por ETH, aumentando o estoque de Ether para cerca de 2.400 ETH.

Enquanto isso, o suposto mentor do roubo já movimentou 2.400 ETH, no valor de cerca de US$ 5,7 milhões, usando a ferramenta de privacidade Ethereum Tornado Cash.

Os dados do serviço Etherscan de monitoramento da cadeia Ethereum mostram os fundos se movendo em somas de 100 ETH, com a ponte de exchange descentralizada da cross-chain AnySwap usada para migrar fundos do BSC para a rede Ethereum.

Fonte: Etherscan

De acordo com a Uranium, o projeto entrou em contato com a equipe de segurança da Binance para evitar que o hacker movesse mais fundos para fora do ecossistema BSC.

Binance não respondeu imediatamente ao pedido do Cointelegraph para comentar o assunto. Um porta-voz da Uranium revelou que o bug ainda não foi corrigido e que os usuários foram aconselhados a parar de fornecer liquidez ao projeto e sacar seus fundos.

A equipe também criou um grupo Telegram para as vítimas do hack, ao mesmo tempo que prometeu fornecer atualizações sobre o progresso feito para recuperar os fundos roubados.

O hack de quarta-feira é o segundo ataque ao projeto Uranium em rápida sucessão. No início de abril, os hackers exploraram um dos pools da plataforma, roubando cerca de US$ 1,3 milhão em BUSD e BNB.

Na verdade, o incidente levou à primeira migração para a v2 há menos de duas semanas. Em um anúncio anterior, a equipe de desenvolvedores da Uranium disse que várias entidades auditaram seus contratos v2 e que aprenderam com seus erros anteriores.

Enquanto isso, há muita especulação sobre se o ataque foi um trabalho interno, dada a repentina decisão de projetar outra atualização de versão apenas 11 dias após a conclusão da migração para a v2.

Hacks associados a bugs de contrato inteligente são comuns na arena de finanças descentralizadas, mesmo para projetos totalmente auditados - como foi o caso com MonsterSlayer Finance no início de abril. Em março, o Meerkat, um clone do Yearn.finance na BSC, supostamente "enganou" seus usuários, roubando US$ 31 milhões no processo.

Dias depois, a equipe de desenvolvedores do projeto revelou que o suposto “tapete puxado” era um teste enquanto traçava planos para devolver os fundos. O TurtleDex, outro projeto baseado em BSC, também sofreu uma fraude logo após seu lançamento, drenando mais de 9.000 tokens BNB levantados durante a pré-venda.

LEIA MAIS