Hace muy pocos días, Uranium Finance, un proyecto DeFi basado en la cadena inteligente de Binance, hizo público que perdió 50 millones de dólares en un exploit de su plataforma, que había tomado prestado ampliamente el código de Uniswap, una bolsa de criptomonedas descentralizada líder que se ejecuta en la blockchain de Ethereum.
Se trata de un protocolo de creador de mercado automatizado (AMM) que es un fork de Uniswap V2, con la ventaja añadida de proporcionar dividendos diarios a sus usuarios.
Los desarrolladores de Uranium habían desplegado recientemente la versión 2 de sus contratos, apenas once días antes de que todo el mundo migrara a la v2.1. El proyecto tuiteó sobre el exploit: “La migración de Uranium ha sido explotada, la siguiente dirección tiene 50m en ella Lo único que importa es mantener los fondos en BSC, todo el mundo por favor empiece a tuitear esta dirección a Binance inmediatamente pidiéndoles que paren las transferencias.”
Al parecer, luego tomaron el grupo de Telegram para usuarios y desarrolladores de Binance, Binance Chain (BC) & Binance Smart Chain (BSC) – Grupo de discusión de desarrollos, en busca de ayuda: Sólo podemos suponer que se trataba de la publicación de los representantes del proyecto. En general, aquí está la lista de lo que fue robado:
• 80 bitcoin (4,3 millones de dólares)
• 1 mil 800 ETH (4,7 millones de dólares)
• 17,9 millones de BUSD (17,9 millones de dólares)
• 5,7 millones de USDT (5,7 millones de dólares)
• 638.000 ADA (0,8 millones de dólares)
• 26.500 DOT (0,8 millones)
• 34 mil BNB envueltos (18 millones de dólares)
• 112 mil tokens U92
Antes de interactuar con Uranium, que se lanzó a principios de este mes, el atacante envió la cantidad mínima de cada token para emparejar contratos y luego empleó una “función swap()” de bajo nivel, que es una función de programación informática que podría utilizarse para drenar ambas reservas.
“En nuestros pools y granjas, se recompensa con nuestro token U92, como cualquier otro DEX (intercambio descentralizado)”, se lee en la web de Uranium. “La diferencia es que hemos creado un segundo token, la contrapartida del U92: U235. Tener este token en tu cartera te convierte en un inversor de nuestra AMM, haciéndote ganar dividendos en BNB y BUSD cada bloque.”
Según el analista de investigación de The Block, Igor Igamberdiev, los contratos de pares en la versión V2 de Uranium habían contenido el error que permitió el exploit. Lo hicieron permitiendo que cualquiera interactuara con los contratos de pares, que son contratos inteligentes para intercambiar pares en un AMM y retirar todos los tokens.
El explotador utilizó una función de intercambio en Uranium para vaciar los fondos, que fueron transferidos de inmediato en 6,4 millones de dólares o 2.438 ETH y que habían sido retirados a través de Tornado Cash, un mezclador de Ethereum que permite a los usuarios retirar fondos de forma anónima. El pirata informático intercambió primero tokens DOT y ADA por ETH a través de Pancake, el intercambio descentralizado basado en la cadena inteligente de Binance.
Los 80 BTC fueron retirados por el hacker utilizando AnySwap, que es un protocolo de intercambio entre cadenas totalmente descentralizado. Los usuarios intercambian entre cualquier moneda en cualquier cadena de bloques.
Sospechosamente, el repositorio de contratos de Uranium fue eliminado de GitHub. No se ha explicado por qué. Sin embargo, todavía se puede ver el código problemático con un pequeño pero de investigación.
En resumen, Uranium Finance fue demasiado creativo con el código prestado.
Uranium Finance ya había sufrido un exploit de su contrato de recompensas a principios de este mes debido a las vulnerabilidades de uno de los contratos inteligentes del proyecto.
Kyle Kistner, cofundador de bzX, destacó el hecho de que pequeños cambios en el contrato UraniumPair tuvieron efectos dramáticos en el comportamiento del código. También señala que el equipo de Uranium parecía conocer el exploit de antemano. “Si difieres la v2 y la v2.1, el único cambio es la eliminación del exploit”, tuiteó.
Para resumir lo ocurrido el hack, Ape Developer, ChartEx Pro Core Developer explica que “Todo parece un error de 50 millones de dólares, es decir, no significa un hack resaltantee. Sólo un error caro. Algo que debería haber sido trivial para recoger con pruebas unitarias muy básicas. Está claro que en la función de intercambio han bifurcado la de Uniswap (comentarios similares, mismo orden, código idéntico). Copiar y pegar trozos de diferentes protocolos lleva a resultados como este”.
