Uranium Finance ซึ่งเป็นโครงการ decentralized finance (DeFi) ที่ทำงานอยู่บน Binance Smart Chain กล่าวว่า เผยว่าพวกเขาถูกนักแฮคเจาะช่องโหว่เพื่อขโมยเงินในวันนี้ และสูญเงินไปราว ๆ 50 ล้านดอลลาร์
โทเค็นหลายตัวรวมถึง Bitcoin และ Ether ถูกโอนออกจาก Uranium Protocol ตามข้อมูลของนาย Igor Igamberdiev จาก The Block Research
โดยมี Bitcoin ราว ๆ 80 BTC (4.3 ล้านเหรียญสหรัฐ), 1,800 ETH (4.7 ล้านเหรียญสหรัฐ), 17.9 ล้าน BUSD (17.9 ล้านเหรียญสหรัฐ), 5.7 ล้าน USDT (5.7 ล้านเหรียญสหรัฐ), 638,000 ADA (0.8 ล้านเหรียญสหรัฐ), 26,500 DOT (0.8 ล้านเหรียญสหรัฐ), 34,000 wrapped BNB ( 18 ล้านดอลลาร์) และเหรียญ U92 tokens จำนวน 112,000 โทเค็นซึ่งเป็นโทเค็นประจำ Uranium Protocol ที่ถูกโอนออกไปอีกด้วย
โปรโตคอล Uranium ที่ก่อนหน้านี้ถูกเปิดตัวขึ้นเมื่อต้นเดือนได้ออกมาเผยว่าการเจาะช่องโหว่นั้นมีขึ้นตอนที่มีการย้ายโปรโตคอลไปยังเวอร์ชัน 2.1
Uranium เป็นโปรโตคอลผู้ดูแลสภาพคล่องอัตโนมัติ (AMM) ที่ถูก fork แยกออกมาจาก Uniswap V2 และอ้างว่าจะให้มีการจ่ายเงินปันผลรายวันให้กับผู้ใช้งาน
“ในระบบ farm และ pool ของเรานั้น คุณจะได้รับโทเค็น U92 ของเราเช่นเดียวกับ DEX (เว็บเทรดคริปโตแบบ decentralized) อื่น ๆ แต่ความแตกต่างคือ เราได้สร้างโทเค็นที่สองซึ่งเป็นคู่ของ U92 ซึ่งนั่นก็คือ U235 การถือโทเค็นนี้ในกระเป๋าเหรียญของคุณจะทำให้คุณได้เป็นนักลงทุน AMM ของเรา ทำให้คุณได้รับเงินปันผลในรูปแบบ BNB และ BUSD ทุกบล็อก” อ่านเพิ่มเติมได้ในเว็บไซต์ของ Uranium
ยังไม่เป็นที่แน่ชัดว่าเกิดปัญหาอะไรขึ้นขณะมีการย้ายระบบ แต่นาย Igamberdiev กล่าวว่าเขานั้นพบบั๊กในคู่สัญญาใน Uranium V2
เนื่องจากข้อผิดพลาดนี้ทุกคนสามารถทำการโต้ตอบกับสัญญาคู่ และถอนโทเค็นเกือบทั้งหมดออกมาได้ (สัญญาคู่คือ smart contract สำหรับคู่พิเศษใน AMM เช่น WETH-USDC)
หลัก ๆ แล้ว bug ดังกล่าวนั้นจะอนุญาตให้ผู้พบช่องโหว่สามารถใช้ฟังก์ชัน swap ใน Uranium เพื่อเพื่อดูดเหรียญออกจากระบบได้นั่นเอง
นักแฮ็คนั้นได้ทำการเคลื่อนย้ายเหรียญออกจาก Uranium ไปแล้วราว ๆ 6.4 ล้านดอลลาร์ หรือ 2,438 ETH โดยได้ทำการถอนผ่าน Tornado Cash หรือตัว mixer ที่ใช้เทคโนโลยี zero-knowledge proofs ที่ให้ผู้โอนมีความเป็นส่วนตัว
นักแฮ็คนั้นได้ทำการ swap เหรียญ DOT และ ADA ไปเป็น ETH ผ่านเว็บเทรด PancakeSwap และหลังจากนั้นพวกเขาก็ทำการ swap เหรียญ ETH ในเวอร์ชัน BSC ไปเป็น ETH ในเวอร์ชัน Ethereum ผ่าน AnySwap หรือโปรโตคอลสำหรับ swap แบบ cross-chain
นอกจากนี้เหรียญ Bitcoin จำนวน 80 BTC ก็ถูกโอนออกไปจาก AnySwap อีกด้วยเช่นกัน
อย่างไรก็ตาม นาย Igamberdiev ได้ออกมากล่าวว่าการกระทำดังกล่าวนั้นอาจถือเป็นการ rugpull จากภายใน เนื่องจากเขามองว่าทีมนักพัฒนานั้นไม่ได้ทำการ white-hat hack เพื่อทดสอบก่อนย้ายไปยังเวอร์ชัน 2.1
นอกจากนี้ Uranium contracts repository นั้นยังได้ถูกลบออกไปจาก GitHub อีกด้วย