Projeto DeFi da Binance Smart Chain perde US$ 50 milhões após golpe
O Uranium Finance, um projeto de finanças descentralizadas (DeFi, na sigla em inglês) da Binance Smart Chain, afirmou que sofreu, nesta quarta-feira (28), um golpe e perdeu US$ 50 milhões.
Segundo Igor Igamberdiev, do The Block Research, diversos tokens, incluindo bitcoin (BTC) e ether (ETH), foram retirados do protocolo Uranium.
Especificamente, 80 bitcoins (US$ 4,3 milhões), 1.800 ether (US$ 4,7 milhões), 17,9 milhões de Binance USD (US$ 17,9 milhões), 5,7 milhões de tether (US$ 5,7 milhões), 638 mil cardano (US$ 800 mil), 26,5 mil polkadot (US$ 800 mil), 34 mil wrapped BNB (US$ 18 milhões) e 112 mil tokens U92 (token nativo do Uranium) foram retirados.
O projeto Uranium, que foi lançado neste mês, disse que o ataque aconteceu durante a migração de seu protocolo para a versão V2.1.
Uranium é um protocolo automatizado de formação de mercado (AMM), que surgiu após uma bifurcação na rede (“fork”) da Uniswap V2, e que afirma fornecer dividendos diários a seus usuários.
“Em nossos pools e fazendas, você é recompensado com o nosso token U92, como qualquer outra moeda descentralizada. A diferença é que criamos um segundo token, semelhante ao U92: o U235. Ter esse token em sua carteira faz de você um investidor de nosso AMM, permitindo que você ganhe dividendos em Binance Coin (BNB) e Binance USD (BUSD) em todos os blocos”, consta no site do projeto DeFi.
Não está claro o que houve de errado durante a migração, mas, segundo Igamberdiev, contratos de pares na versão V2 do Uranium tinham uma falha.
Devido a essa falha, qualquer pessoa poderia interagir com os contratos pares e extrair quase todos os tokens. Contratos pares são contratos autônomos para pares especiais em um protocolo AMM, como por exemplo: Weth e USD Coin (WETH-USDC).
Essencialmente, a falha permitiu que o explorador usasse a função de swap no Uranium para extrair os fundos.
O explorador já começou a movimentar e retirar fundos. Cerca de US$ 6,4 milhões ou 2.438 ETH foram retirados por meio do Tornado Cash, um mixer de Ethereum com base em tecnologia de prova de conhecimento zero, que permite aos usuários retirar fundos de forma anônima.
Primeiro, o explorador trocou polkadot (DOT) e cardano (ADA) por ETH, por meio da PancakeSwap, uma moeda descentralizada com base na Binance Smart Chain.
Em seguida, trocou a versão BowsCoin (BSC) de ETH pela versão Ethereum de ETH, por meio da AnySwap, um protocolo de trocas entre blockchains.
Todos os 80 BTC também foram retirados pelo explorador via AnySwap.
De acordo com Igamberdiev, essa situação pode ter sido feita por pessoas diretamente envolvidas com o protocolo ou ter sido uma “puxada de tapete”, pois havia uma falha na versão Uranium V2 e a equipe do projeto não realizou hacks “éticos” ou do bem (“white hat hacking”), antes de realizar a migração para a versão V2.1.
O repositório de contratos do Uranium também foi removido do GitHub por razões desconhecidas.