Uranium Financeでハッキング 被害額は5000万ドル
DeFiで恐れていた事態が発生しました。
Uranium Financeでハッキングがあり被害総額はなんと5000万ドル。
私も短期で結構大きな額を突っ込んでいたため。。。。ちょっと気持ちの整理がつきません。
まさか自分が。。
公式での中間報告はここに掲載されていますので和訳を載せておきます。
利用可能な一連の難しい決定を含め、何が起こったのかを説明するために他に何を書いても…私たちがリストするものは言い訳のように聞こえるかもしれませんが、そうではありません、責任は私たちにあり、私たちは今でも可能な限り修正するために取り組んでいます。失った人々のための状況、それは文字通り世界中からの何千ものDeFi投資家です。
また、できる限り詳細を公開していますが、このデリケートなプロセスを支援するために、Binanceの代表者とこれ以上の情報を共有しています。私たちの目標は何よりもまず資金の回収であり、そのプロセスを危険にさらすようなことは何もしません。
報酬システムの悪用(LPの悪用とは関係ありません)後にウランファイナンスを再開する際には、多層監査システムとテストネットトライアルも実装し、セキュリティを最優先事項としました。
監査には、Defiyield.infoによるプライベートピアレビューとHyperjumpによるコードレビューが含まれ、どちらもAMM /ファームスペースで非常に活発であり、BSCGemzによる完全な監査が行われました。これらの監査のいずれもこれを重大な脆弱性として取り上げませんでしたが、BSCGemzは関連する低レベルのリスクを強調しました。完全なコードベースは、これらのグループだけでなく、GitHubでも利用でき、BSCscanで表示できました。
BSC Gemz監査によって特定されたさまざまな低レベルのリスクのレビューを行っている間、開発チームは、潜在的な重大なエクスプロイトが存在することを懸念しました。 TVLで80m以上蓄積した事件。
このエクスプロイトが可能になったのは、V2のコードベースの更新中に、スワップ手数料を0.20%から0.16%に変更したため、意図しない計算が行われ、許可されたスワップ手数料が発生したためです。これらの変更は、残高の健全性チェックを適応させる結果をもたらしましたが、1つの行が誤って変更されないまま(緑色)、攻撃者が準備金を使い果たす可能性がありました。文字通り、1行に1つの0。
その後のことは、5〜6時間の間に起こりました。
利用可能なオプションは次のとおりです。より多くの支援をもたらすか、資金を確保するためにホワイトハット攻撃を試みるか、エクスプロイトを軽減しようとします。
より多くの助けをもたらす—私たちはBSCと安全に連絡を取ろうとしましたが、非常に短い時間枠で成功しませんでした。私たちが紹介したすべての追加のパーティは信頼性が低く、その時点で未確認のエクスプロイトを悪用する可能性のある人々の潜在的な宇宙を急速に拡大します。
ホワイトハット攻撃—これは真剣に検討されました。コードが修正されるまで安全を保つために自分たちで資金を使い果たし、その後プールに戻します。しかし、すべてのプールでこのエクスプロイトを同時に実行できるという確信がなかっただけで、フロントランを取得することなく、失敗した試みは、すべての資金を危険にさらした直後の数分で、経験豊富なハッカーによる特定の成功したエクスプロイトにつながります。
緩和—これは、私たちが苦労して決定したオプションであり、問題を特定せずに、LPからできるだけ多くの流動性を可能な限り迅速にプッシュおよび強制する(強制移行)効果を持つ一連の発表されたアクションです(エクスプロイトが発生することを保証します)。この戦略の最大の課題は24時間のタイムロックでしたが、これは避けられませんでした。
私たちは、エクスプロイトが悪意のある人物によって特定されなかったことを期待して、プロジェクトのより大きな計画内で状況を包み込み、誤った方向性を作成するよう努めましたが、明確にするために、ユーザーの資金を安全に保つことだけに焦点を当てました。
新しいv2.1コードをプッシュしたり、発表を行ったりする数時間前に、エクスプロイトは、後でシステムを悪用できるように契約を展開するウォレットの初期化などの土台をすでに整えていたため、私たちの考えや行動はすべて無関係でした。
これが、チーム内の誰かからのエクスプロイトに関するリークの直接の結果なのか、コードベースをレビューした認定サードパーティによるものなのか、あるいはたまたま欠陥を見つけたランダムな開発者によるものなのかはわかりません。
完全に透明にするために、全員が移行に取り組んでいる間にいくつかの奇妙なタイミングが発生し、疑わしい「クジラ」の売却は本当に奇妙なタイミングで見えました。しかし、現時点では、これらはすべて疑惑に過ぎず、セキュリティチームがケースに取り組むことができるように、これらの要素はすべてBinanceにすでに送信されています。
その後のすべては、十分にカバーされています。 BinanceチームとAnySwapチームの注目を集めるために、すぐに公開キャンペーンを推進しました。 BSCの壁に囲まれた庭が資金の移動を困難にしているため、これはフェイルセーフでしたが、1mを超える金額を自動的に転送しないというAnySwapsの以前のポリシーが変更されたようであり、他のほとんどのゲートウェイが閉鎖されているにもかかわらず、AnySwapは大まかにオフランプを提供しました15mの資金。
今何テレグラムを結成しました。
グループであり、すべての管轄区域の当局に通知する取り組みを調整し、資金の回収に向けて取り組み、情報が利用可能になったときにユーザーに通知し続ける。更新には時間がかかる場合がありますが、誰も眠っていません。
これがエクスプロイトを特定した誰かからのリークまたは独立した行動の結果であるかどうかはまだわかりませんが、加害者が特定され、すべての情報が公開されることを願っています。
私たちは、BinanceとBSCのチームと引き続き協力し、私たちが持っているすべての情報、通信、およびリードを共有します。私たちは彼らの努力に感謝し、私たちの努力にもかかわらず資金を安全に保つことができなかったので、彼らが私たちができた以上のことを助けてくれることを願っています。 4100万ドルのBNB、BUSD、USDTを保持している2つのウォレットはまだBSCにあり、明らかに監視下にあります。
また、v3を実行する必要があると考えている人には、これは絶対に起こらないと明確に述べる必要があると感じています。もちろん、Telegramを介して可能な限りBinanceとユーザーを支援し続け、資金が確保されれば、再配布のあらゆる支援を提供しますが、それでUraniumは終了します。このような状況では、このプロジェクトを復活させることはできません。
これは対岸の火事ではないです。
他の運用していたDeFiはすべて終了させました。
ファーミングされる方は無くしてもいいお金で運用しましょう。
またあれこれ手を出さずに知名度のあるものに集中することをお勧めします。