Uwu Lend, un protocole DeFi fondé par le fraudeur condamné Michael Patryn, alias « Sifu », a de nouveau été piraté jeudi, pour un montant de 3,7 millions de dollars, selon la société de sécurité blockchain Cyvers. Ce piratage survient trois jours seulement après que le même individu a dérobé 19,4 millions de dollars au protocole, précise Cyvers.
À lire également : DeFi fondé par « Sifu » piraté et dérobé 19,4 millions de dollars
Cyvers n'a pas précisé le déroulement exact de l'attaque. Cependant, l' attaque initiale du 10 juin impliquait l'utilisation de « prêts flash », un type de prêt permettant aux utilisateurs de la finance décentralisée ( DeFi ) d'emprunter des cryptomonnaies sans garantie. Les prêts flash sont également vulnérables à la manipulation. Lors de l'incident de lundi dent le pirate informatique d'Uwu Lend a ciblé cinq paires de stablecoins afin de manipuler le flux de prix du sUSDe et a dérobé près de 20 millions de dollars en USDC, FRAX, crvUSD et blUSD.
Uwu Lend ne s'est pas engagé à rembourser les utilisateurs une seconde fois
Lors de la dernière cyberattaque, Cyvers rapporte que le pirate a dérobé un total de 3,7 millions de dollars en stablecoins (DAI, USDT, FRAX, crvUSD, LUSD) et en Ether encapsulé. Comme lors de la première attaque, les fonds volés ont été convertis en Ethereum (ETH) et transférés vers l'adresse du portefeuille du pirate .
🚨ALERTE🚨 @UwU_Lend a subi une nouvelle faille de sécurité de la part du même attaquant !
Perte totale : 3,7 millions de dollars.
Pools affectés : uDAI, uWETH, uLUSD, uFRAX, uCRVUSD, uUSDT.
Tous les actifs volés ont été convertis en ETH et se trouvent à l’adresse de l’attaquant : https://t.co/9TvwLh18P1Pour en savoir plus… https://t.co/AjcMS1Cdyl
— 🚨 Alertes Cyvers 🚨 (@CyversAlerts) 13 juin 2024
Au moment de la rédaction de cet article, Uwu Lend n'a pas encore commenté l'exploitation de la faille de jeudi. Auparavant, le protocole avait annoncé un remboursement « jusqu'à 80 % du montant initialement déposé ». L'entreprise a ensuite déclaré avoir «dent la vulnérabilité » à l'origine de la faille et résolu le problème.
Uwu Lend a finalement réactivé ses pools de prêt, qui avaient été suspendus suite au vol de 19,4 millions de dollars. Cyvers a révélé que l'attaquant les avait de nouveau ciblés 24 heures plus tard. Le protocole est dérivé du protocole de prêt leader Aave, et plus particulièrement de sa base de code v2, permettant aux utilisateurs d'emprunter, de prêter et de staker divers actifs cryptographiques.
À lire également : Un utilisateur d’OKX perd 2 millions de dollars en cryptomonnaies suite à une attaque par deepfake d’IA.
Uwu Lend a été créé par Michael Patryn, cofondateur de la plateforme d'échange de cryptomonnaies canadienne Quadriga CX, qui a perdu 124 millions de dollars de fonds utilisateurs en 2019. Sifu a été démis de ses fonctions de trésorier du DeFi Wonderland en février 2022 après que son identité en tant que Patryn a été révélée . Il n'a été accusé d'aucune malversation. Sifu est également un ancien détenu ayant purgé une peine pour fraude bancaire aux États-Unis.
Reportage Cryptopolitan par Jeffrey Gogo
