Aller au contenu Aller à la barre latérale Atteindre le pied de page

Un clone de Binance Smart Chain Uniswap, Uranium Finance, a perdu 50 millions de dollars en jetons tôt mercredi matin dans un exploit.

L’attaquant a profité d’une vulnérabilité présente dans les contrats v2 d’Uranium depuis la mise à niveau de la bourse il y a plus d’une semaine. Après avoir envoyé le minimum de jetons requis dans les « contrats de paire » d’Uranium, l’attaquant a drainé les pools de liquidité de plusieurs paires de jetons ; un zéro mal placé dans le champ de solde du contrat a créé l’ouverture pour le vecteur d’attaque.

Un cumule de 50 millions de dollars évaporés

Sur les 50 millions de dollars dérobés, les pools pour le jeton blockchain de Binance (BNB) et son stablecoin (BUSD) ont chacun perdu 18 millions de dollars de fonds. Les pools d’Ethereum et de BTCB (la version de Binance Chain du bitcoin « enveloppé » (BTC, -6,53%)) ont collectivement perdu environ 9 millions de dollars de jetons. Un montant supplémentaire de 6,7 millions de dollars en USDT (-0,03%) et 1,7 million de dollars en DOT (-2,89%), ADA (-4,82%) et le propre jeton d’Uranium ont également disparu des autres pools.

Après le piratage, le BTCB a été échangé contre de vrais BTC, et l’ETH (-1,83 %) se trouve dans un mélangeur Ethereum appelé Tornado Cash, selon le chercheur Igor Igamberdiev de The Block.

Notamment, selon un exploit passé sur la blockchain BSC de Binance, les BNB et BUSD pourraient être récupérés par un rollback, bien que Binance n’ait fait aucune annonce à ce sujet.

Comment la faille a-t-elle été exploitée ?

Cette vulnérabilité est présente dans tous les pools Uranium v2. Un message épinglé sur Telegram par Baymax, membre anonyme de la communauté Uranium, avertit les utilisateurs de « CESSER d’ajouter de la liquidité … et de supprimer la liquidité si vous le pouvez » car l’exploit laisse encore des millions de dollars en tokens à risque dans ces contrats v2.

Baymax conseille aux utilisateurs de migrer vers les contrats v2.1, qui contiennent une correction de la vulnérabilité. L’attaque a eu lieu deux heures avant la mise en ligne de la version 2.1, alors que la faille était ouverte depuis la dernière mise à jour d’Uranium vers la version 2, il y a un peu plus d’une semaine.

« Comme vous le savez tous, nous avons commandé un audit, et parmi les conclusions, il y avait un problème de faible gravité. Les développeurs ont creusé plus profondément et ont trouvé un problème qui a mis toute la ferme en danger « , lit-on dans le message épinglé de Baymax.

« Il y a un total de 7 personnes à Uranium qui étaient au courant de l’exploit. En dehors d’Uranium, il y aurait les 3 auditeurs contractuels et leurs sous-traitants respectifs qui pourraient être au courant de cette faille », peut-on lire plus bas. Plus loin dans le message, Baymax émet l’hypothèse que « quelqu’un a divulgué des informations » qui ont conduit l’attaquant à exploiter la vulnérabilité.



Laisser un commentaire