Uranium Finance, una market maker automatizzato su Binance Smart Chain, ha segnalato un incidente di sicurezza risultato in una perdita da circa 50 milioni di dollari.

In un tweet pubblicato mercoledì, Uranium ha rivelato che l’exploit ha preso di mira la migrazione del token alla versione v2.1 del protocollo, sottolineando che il team è in contatto con il team di sicurezza di Binance per mitigare i danni:

“La migrazione di Uranium ha subito un exploit, il seguente indirizzo contiene 50 milioni di dollari. L’unica cosa che conta è mantenere i fondi su BSC, chiediamo a tutti di twittare questo indirizzo a Binance immediatamente chiedendo loro di interrompere i trasferimenti.”

L’hacker avrebbe sfruttato un bug nella logica del modificatore di saldi usato da Uranium, moltiplicando per 100 il saldo del progetto. Questo errore ha consentito al responsabile di sottrarre 50 milioni di dollari al progetto. Al momento della stesura, lo smart contract creato dall’hacker contiene ancora 37,2 milioni di dollari in Binance Coin (BNB) e Binance USD (BUSD).

I fondi rubati rimanenti includono 80 Bitcoin (BTC), 1.800 Ether (ETH), 26.500 Polkadot (DOT), 5,7 milioni di Tether (USDT), 638.000 Cardano (ADA) e 112.000 u92, il token nativo del progetto.

I dettagli forniti da BscScan mostrano che l’hacker ha convertito i token ADA e DOT in ETH, portando il bottino di Ether a circa 2.400 ETH, pari a 5,7 milioni di dollari; successivamente ha spostato i fondi usando Tornado Cash, uno strumento per la privacy su Ethereum.

I dati di Etherscan mostrano i fondi inviati in lotti da 100 ETH, attraverso il ponte cross-chain dell’exchange decentralizzato AnySwap per migrare i fondi da BSC a Ethereum.

Fonte: Etherscan

Stando a quanto annunciato da Uranium, il progetto ha già contattato il team di sicurezza di Binance per impedire all’hacker di spostare altri fondi al di fuori dell’ecosistema BSC.

Un portavoce di Uranium ha rivelato che il bug non è ancora stato risolto e il team ha consigliato agli utenti di non fornire liquidità sul protocollo e prelevare i propri fondi. È stato inoltre creato un gruppo su Telegram per le vittime dell’attacco informatico, promettendo di fornire aggiornamenti sui progressi verso il recupero dei fondi sottratti.

L’hack di mercoledì è già il secondo subito in rapida successione dal progetto Uranium. Nei primi giorni di aprile, degli hacker hanno sfruttato un exploit in una delle pool della piattaforma, sottraendo circa 1,3 milioni di dollari in BUSD e BNB.

L’incidente ha portato alla prima migrazione verso la v2 meno di due settimane fa. In un annuncio precedente, il team di sviluppo di Uranium ha dichiarato che i contratti della v2 erano stati sottoposti a audit da diverse entità, e di aver imparato dai propri errori.

Nel frattempo, dilagano le speculazioni che considerano l’hack un inside job, vista la decisione improvvisa di progettare un altro aggiornamento a soli 11 giorni dal completamento della migrazione alla v2.

“Oggi Uranium Finance è stato colpito. Gli sviluppatori di Uranium avevano appena implementato la v2 dei loro contratti, e 11 giorni più tardi hanno chiesto a tutti di migrare sulla v2.1. Una tempistica piuttosto strana per un aggiornamento, no?”

Gli attacchi informatici associati a bug all’interno di smart contract sono ormai all’ordine del giorno nella finanza decentralizzata, anche per i progetti completamente verificati, come nel caso di MonsterSlayer Finance verso l’inizio di aprile. A marzo, un clone di Yearn.finance su BSC, chiamato Meerkat, ha truffato i suoi utenti sottraendo loro 31 milioni di dollari.

Qualche giorno più tardi, gli sviluppatori del progetto hanno rivelato che il presunto “rug pull” era un test, spiegando i piani per restituire i fondi. Anche TurtleDex, un altro progetto basato su BSC, ha eseguito un “exit scam” sottraendo oltre 9.000 token BNB raccolti durante la pre-vendita.