加密货币借贷协议 UwU Lend 在三天内被利用了两次,攻击者盗取了约 2370 万美元。第一次攻击发生在 6 月 10 日,攻击者盗取了该平台的 2000 万美元加密货币。今天的攻击又造成了约 370 万美元的损失。
第二次攻击是第一次攻击的延伸,因为他们在协议上仍有资金,在第一次攻击发生后不到三天就提取了这些资金。本质上,攻击者进行了一次闪电贷攻击,使他们能够利用平台中的漏洞操纵资产价格。他们将 Ethena USDe (USDE) 换成其他代币,这降低了平台池中的 USDE 和 Staked Ethena USDe (SUSDE) 的价格。
然后,他们继续以折扣价提取 SUSDE 代币,方法是存入其他资产作为抵押品来借入这些代币。在此过程中,SUSDE 的价格迅速上涨,攻击者利用这一点,存入借来的 SUSDE 来借入超过可能数量的 CURVE DAO (CRV) 代币。这种方法被用来从 UwU Lend 榨干数百万资金。
该平台刚刚向因 6 月 10 日的漏洞而遭受损失的用户赔偿了约 970 万美元。赔偿几小时后,攻击者又卷土重来,从该平台窃取了 370 万美元。区块链网络安全平台 CertiK 表示,攻击者正在提取他们三天前已经获得的资金。
他们两次将从借贷平台获得的资产兑换成 ETH,并将资金发送到他们的地址 0x841dDf093f5188989fA1524e7B893de64B421f47。该地址与两次漏洞的提款有关,并解释说两次事件背后的幕后黑手是同一个人。他们利用了与 USDE 价格信息相关的预言机合约中的漏洞。
该图片由Darwin Laganzon在Pixabay上发布