سرقت ۵۰ میلیون دلار در جریان هک پروژه اورانیوم فایننس

اورانیوم فایننس که یکی از پروژه‌های اجرا شده روی بایننس اسمارت چین است روز چهارشنبه ۲۸ آپریل هک شد و در این جریان ۵۰ میلیون دلار به سرقت رفت.

بر اساس گزارش تحلیل‌گران The Block Research چندین ارز دیجیتال شامل بیت کوین و اتریوم در این بین جابجا شده است. به طور دقیق ۸۰ BTC معادل ۴.۳ میلیون دلار، ۱۸۰۰ ETH معادل ۴.۷ میلیون دلار، ۱۷.۹ میلیون BUSD و ۵.۷ میلیون USDT مجموعا معادل ۲۳.۶ میلیون دلار، ۶۳۸ هزار ADA و ۲۶۵۰۰ DOT، همچنین ۳۴۰۰۰ wrapped BNB و تعداد ۱۱۲۰۰۰ توکن بومی اورانیوم در این حمله به سرقت رفته است.

اورانیوم فایننس پروژه‌ای است که در همین ماه راه‌اندازی شده است. تیم این پروژه اعلام کردند که در جریان انتقال به نسخه دوم آن این حمله صورت گرفته است.

اورانیوم یک بازارساز خودکار (AMM) و فورکی از نسخه دوم یونی سواپ است که ادعا می‌کرد روزانه به کاربران خود سود پرداخت می‌کند. در وبسایت این پروتکل آمده است:

در استخرها و فارم‌های ما مانند سایر صرافی‌های غیرمتمرکز با توکن U92 پاداش دریافت می‌کنید. تفاوت ما این است که ما توکن دیگری نیز ارائه کرده‌ایم؛ توکن U235. با هولد کردن این توکن شما سرمایه‌گذار بازارساز خودکار خواهید بود که در هر بلاک، به عنوان پاداش BNB و BUSD دریافت خواهید کرد.

هک پروتکل اورانیوم فایننس چگونه رخ داده است؟

دقیقا مشخص نیست که این هک چگونه در جریان به‌روزرسانی اتفاق افتاده است اما به نظر می‌رسد نسخه دوم اورانیوم فایننس باگ امنیتی بزرگی داشته است، به صورتی که هر کسی می‌توانسته است در قرارداد هر جفت ارزی، تمام توکن‌ها را برداشت کند.

در نهایت این مشکل امنیتی به هکر اجازه داده است که از عملگر سواپ (تبدیل توکن) برای انتقال دارایی‌ها استفاده کند.

حمله کننده به این پروتکل، انتقال دارایی‌ها را شروع کرده است. تقریبا ۲۶.۴ میلیون دلار ارز دیجیتال اتریوم از طریق Tornado Cash برداشت شده است. این برنامه به کاربران اجازه می‌دهد تا به صورت ناشناس دارایی‌ها را منتقل کنند.

ابتدا توکن‌های DOT و ADA از طریق صرافی غیرمتمرکز پنکیک سواپ به اتر تبدیل شده است. سپس اتر شبکه هوشمند بایننس توسط پروتکل AnySwap به ETH شبکه اتریوم تبدیل شده است.

تمام ۸۰ بیت کوین هم از همین طریق برداشت شده است. این احتمال وجود دارد که حمله صورت گرفته از طرف یکی از اعضای تیم باشد؛ زیرا قبل از انجام به‌روزرسانی و انتقال به نسخه دوم پروتکل اورانیوم فایننس، فرآیند هک کلاه سفید انجام نشده است.

علاوه بر آن مخزن قراردادهای اورانیوم از روی گیت هاب نیز پاک شده است.