Uranium Finance, een decentralized finance (DeFi) project op de Binance Smart Chain (BSC), is gehackt en maar liefst $50 miljoen aan verschillende cryptocurrencies zijn gestolen. Dat heeft het project op 28 april via Twitter aangekondigd:
(1/2)‼️ Uranium migration has been exploited, the following address has 50m in it The only thing that matters is keeping the funds on BSC, everyone please start tweeting this address to Binance immediately asking them to stop transfers.
— Uranium Finance (@UraniumFinance) April 28, 2021
Uranium Finance is een zogeheten automated market maker (AMM) en een hard fork van Uniswap (UNI). De hackers zouden misbruik gemaakt hebben van een bug in het systeem tijdens de migratie naar versie 2.1
De volgende crypto ter waarde van $50 miljoen zijn gestolen: 80 bitcoin (BTC), 1.800 ethereum (ETH), 26.500 polkadot (DOT), 5,7 miljoen tether (USDT), 638.000 cardano (ADA), 34.000 wrapped binance coins (WBNB) en 17,9 miljoen binance USD (BUSD). Daarnaast werden ook 112.000 u92 tokens gestolen, de native token van het Uranium platform.
De ADA en DOT zijn inmiddels al overgezet naar ETH via PancakeSwap. Vervolgens werd 2.400 ETH naar Tornado Cash gestuurd, een zogeheten token mixer om sporen te wissen. Opvallend is dat de u92 tokens gestaked zijn. Het team van Uranium meldt dat zij contact hebben opgenomen met Binance. Binance heeft nog geen reactie gegeven op het voorval.
Het is niet de eerste keer dat dit gebeurt met Uranium, nog geen twee weken geleden werd ook al $1,3 miljoen aan crypto van het platform gestolen. Igor Igamberdiev, onderzoeker van The Block, noemt het dan ook zeer verdacht.
Volgens de onderzoeker had het team namelijk de bug al een keer verholpen en ze zouden er dus van bewust moeten zijn geweest. Hij vreest dat het team de bug er expres in heeft gezet om een zogeheten rug pull uit te voeren:
10/10
Since the team fixed this bug that led to the exploit, they should have known about it for sure.
In this case, the best option would be a white hack not to jeopardize users’ funds.
Since there was no white hack, I tend to believe that it was a rug pull.
— Igor Igamberdiev (@FrankResearcher) April 28, 2021
