UwU Lend afectado por otro hackeo de $3.7 millones durante esfuerzos de reembolso

Compartir este artículo

En un desarrollo preocupante, el protocolo UwU Lend, que fue víctima de un hackeo de casi $20 millones el 10 de junio, ahora enfrenta otro exploit en curso. La plataforma de análisis de datos en cadena Cyvers ha alertado al protocolo sobre el ataque, afirmado que los mismos atacantes responsables del exploit anterior están detrás de este último incidente.

El exploit en curso ya ha drenado $3.5 millones de varios fondos de activos, incluidos uDAI, uWETH, uLUSD, uFRAX, uCRVUSD y uUSDT. Los activos robados se han convertido a Ether (ETH) y actualmente están en la dirección del atacante. Etherscan ha etiquetado la dirección en cuestión según un informe de Togbe, uno de los primeros usuarios de X en llamar la atención sobre el hackeo inicial.

Este último ataque ocurre solo tres días después del exploit inicial de $20 millones, que fue causado por manipulación de precios.

Según el análisis de Cyvers, los atacantes usaron un flash loan para cambiar USDe por otros tokens, lo que llevó a un precio más bajo de Ethena USDe (USDE) y Ethena Staked USDe (SUSDE). Luego depositaron los tokens en UwU Lend y prestaron más SUSDE de lo esperado, elevando el precio de USDE. Los atacantes también depositaron SUSDE en UwU Lend y pidieron prestado más Curve DAO (CRV) de lo anticipado.

Mediante estas tácticas, los atacantes lograron robar casi $20 millones en tokens.

Notablemente, un informe reciente sobre liquidaciones de CRV de Lookonchain muestra que el fundador de Curve Finance, Michael Egorov, pidió prestadas varias stablecoins de plataformas DeFi, incluyendo UwU Lend. Egorov hizo posiciones de préstamos por aproximadamente $5 millones en USDT y DAI sobre UwU Lend.

Ironicamente, el protocolo UwU Lend había comenzado a reembolsar a las víctimas del hackeo anterior cuando ocurrió el segundo exploit.

Hello UwU Frens!

We are happy to announce that all bad debt for the $wETH market has been repaid! A total of 481.36 $wETH ($1,734,042), covering all bad debt for the market, has been paid.
• https://t.co/IeMIkaW7cM

— UwU Lend (@UwU_Lend) June 13, 2024

El protocolo anunció en X que había pagado toda la deuda mala del mercado de Ether (wETH) envuelto, ascendiendo a 481.36 wETH por valor de más de $1.7 millones. En total, UwU Lend ha reembolsado más de $9.7 millones hasta la fecha.

Luego del primer exploit, UwU afirmó haber identificado y resuelto la vulnerabilidad responsable, que supuestamente era única del oráculo del mercado USDe. El protocolo declaró que todos los otros mercados habían sido revisados nuevamente por profesionales y auditores de la industria, sin «encontrar problemas o preocupaciones.»

Sin embargo, la firma de seguridad cripto CertiK ha revelado que el exploit en curso no es resultado de la misma vulnerabilidad sino más bien una consecuencia del ataque inicial. CertiK explica que el atacante había ganado una cantidad significativa de tokens uUSDE del primer exploit y todavía los poseía.

A pesar de que el protocolo estaba pausado, UwU Lend todavía consideraba uUSDE como un «colateral legítimo», explica CertiK. Esta condición permitió que los actores de la amenaza explotaran los montos restantes de uUSDE y drenaran todos los otros fondos de UwULend.

Compartir este artículo