Aller au contenu Aller à la barre latérale Atteindre le pied de page

Une vulnérabilité a fait perdre 50 millions de dollars à Uranium Finance

Un clone de Binance Smart Chain Uniswap, Uranium Finance, a perdu 50 millions de dollars en jetons tôt mercredi matin dans un exploit.

L’attaquant a profité d’une vulnérabilité présente dans les contrats v2 d’Uranium depuis la mise à niveau de la bourse il y a plus d’une semaine. Après avoir envoyé le minimum de jetons requis dans les “contrats de paire” d’Uranium, l’attaquant a drainé les pools de liquidité de plusieurs paires de jetons ; un zéro mal placé dans le champ de solde du contrat a créé l’ouverture pour le vecteur d’attaque.

Un cumule de 50 millions de dollars évaporés

Sur les 50 millions de dollars dérobés, les pools pour le jeton blockchain de Binance (BNB) et son stablecoin (BUSD) ont chacun perdu 18 millions de dollars de fonds. Les pools d’Ethereum et de BTCB (la version de Binance Chain du bitcoin “enveloppé” (BTC, -6,53%)) ont collectivement perdu environ 9 millions de dollars de jetons. Un montant supplémentaire de 6,7 millions de dollars en USDT (-0,03%) et 1,7 million de dollars en DOT (-2,89%), ADA (-4,82%) et le propre jeton d’Uranium ont également disparu des autres pools.

Après le piratage, le BTCB a été échangé contre de vrais BTC, et l’ETH (-1,83 %) se trouve dans un mélangeur Ethereum appelé Tornado Cash, selon le chercheur Igor Igamberdiev de The Block.

Notamment, selon un exploit passé sur la blockchain BSC de Binance, les BNB et BUSD pourraient être récupérés par un rollback, bien que Binance n’ait fait aucune annonce à ce sujet.

Comment la faille a-t-elle été exploitée ?

Cette vulnérabilité est présente dans tous les pools Uranium v2. Un message épinglé sur Telegram par Baymax, membre anonyme de la communauté Uranium, avertit les utilisateurs de “CESSER d’ajouter de la liquidité … et de supprimer la liquidité si vous le pouvez” car l’exploit laisse encore des millions de dollars en tokens à risque dans ces contrats v2.

Baymax conseille aux utilisateurs de migrer vers les contrats v2.1, qui contiennent une correction de la vulnérabilité. L’attaque a eu lieu deux heures avant la mise en ligne de la version 2.1, alors que la faille était ouverte depuis la dernière mise à jour d’Uranium vers la version 2, il y a un peu plus d’une semaine.

“Comme vous le savez tous, nous avons commandé un audit, et parmi les conclusions, il y avait un problème de faible gravité. Les développeurs ont creusé plus profondément et ont trouvé un problème qui a mis toute la ferme en danger “, lit-on dans le message épinglé de Baymax.

“Il y a un total de 7 personnes à Uranium qui étaient au courant de l’exploit. En dehors d’Uranium, il y aurait les 3 auditeurs contractuels et leurs sous-traitants respectifs qui pourraient être au courant de cette faille”, peut-on lire plus bas. Plus loin dans le message, Baymax émet l’hypothèse que “quelqu’un a divulgué des informations” qui ont conduit l’attaquant à exploiter la vulnérabilité.


Notre contenu peut contenir des liens d'affiliation naturelle pour des produits que nous utilisons ou aimons. Si vous effectuez une action (abonnement, achat) après avoir cliqué sur l'un de ces liens, nous gagnerons un peu d’argent pour le café que nous promettons de boire tout en créant plus de contenu utile comme celui-ci.

Les informations contenues dans cet article sont fournies à des fins informatives uniquement et ne constituent pas des conseils d'investissement. L'investissement dans les cryptomonnaies et autres actifs financiers comporte des risques. Avant de prendre toute décision d'investissement, nous vous recommandons fortement de consulter un conseiller financier agréé.

L'auteur et Coinalist n'assument aucune responsabilité pour toute perte ou dommage qui pourrait résulter de la confiance dans les informations fournies dans cet article. Les lecteurs sont encouragés à effectuer leurs propres recherches et à prendre des décisions éclairées.

Les opinions exprimées dans cet article sont celles de l'auteur et ne reflètent pas nécessairement les vues de Coinalist ou de toute autre entité associée.

Newsletter
Recevez nos actualités crypto condensés (presque) tous les jours !
Email


Laisser un commentaire