バイナンス・スマートチェーン(BSC)の自動マーケットメイカープラットフォームであるウラニウム・ファイナンスは、約5000万ドルの損失をもたらすセキュリティインシデントを報告した。
28日のツイートで、ウラニウムは、この事件がv2.1トークン移行イベントを標的にしたものであり、チームが状況を打開するためにバイナンスのセキュリティチームと連絡を取っていることを明らかにした。
(1/2)‼️ Uranium migration has been exploited, the following address has 50m in it The only thing that matters is keeping the funds on BSC, everyone please start tweeting this address to Binance immediately asking them to stop transfers.
— Uranium Finance (@UraniumFinance) April 28, 2021
ハッカーは、プロジェクトの残高を100倍に膨らませたウラニウムの残高修正ロジックのバグを利用したという。
このエラーにより、攻撃者はプロジェクトから5000万ドルを盗むことができたという。記事執筆時点で、ハッカーによって作成されたコントラクトは、バイナンスコイン(BNB)とバイナスUSD(BUSD)で3680万ドルを保持している。
盗まれた資金には、ビットコインで80BTC、イーサリアムで1800ETH、ポルカドット2万6500DOT、テザーで570万USDT、カルダノで63万8000ADAなどだ。
BsnScanの詳細は、攻撃者がADAトークンとDOTトークンをETHに交換し、イーサリアムを2400ETHに増やしたことを示している。
そして攻撃者と目される人物は、イーサリアムのプライベートツールであるトルネ―ドキャッシュを使用して、既に2400ETH(約570万ドル相当)を移動させている。
イーサリアムチェーン監視サービスのEtherscanからのデータは、資金がBSCからイーサリアムネットワークに移行するために使用されるクロスチェーン分散型交換所AnySwapを利用して、100ETHずつ資金を移動させている。
ウラニウムによると、ウラニウム側はハッカーがBSCエコシステムから資金を移動させるのを防ぐためにバイナンスのセキュリティチームに連絡を取った。
バイナンスは、コインテレグラフのコメント要求にすぐには応答しなかったが、ウラニウムの広報担当者は、バグはまだ修正されておらず、ユーザーはプロジェクトへの流動性提供をやめ、資金を現金化するようにアドバイスしていることを明らかにした。
ウラニウムチームはまた、盗まれた資金を回収するための作業について最新情報を提供していくことを約束し、ハッキングの被害者のためのテレグラムグループを作成している。
今回のハッキングは、ウラニウムプロジェクトにとって2回目の攻撃だ。4月はじめ、ハッカーはプラットフォームのプールの1つを悪用し、約130万ドル相当のBUSDとBNBを盗み出している。
実際、この事件を受けて、2週間以内にv2への最初の移行が行われた。当時の発表で、ウラニウムの開発チームは、複数の組織がv2のコントラクトを監査し、以前の過ちから学習したと述べていた。
一方、v2の移行が完了してからわずか11日後に別のバージョンへのアップグレードを設計するという突然の決定を考えると、攻撃が内部犯行ではないかという憶測も飛び交っている。
Today @UraniumFinance got rekt. The Uranium devs had just deployed v2 of their contracts, and 11 days later they asked everyone to migrate to v2.1. Pretty odd timing for an upgrade, right?
— Kyle "1B TVL" Kistner | Fulcrum | bZx (@BeTheb0x) April 28, 2021
Here's how the bug worked. ⬇️
分散型金融(DeFi)におけるスマートコントラクトのバグを悪用したハッキングは、4月はじめのMonster Slayer Financeのケースと同様、完全に監査されたプロジェクトの場合でも発生してしまう。
