基于币安链的DeFi交易所Uranium Finance受黑客攻击损失5000万美元

暴走时评：周三凌晨，币安智能链上一家模仿Uniswap的交易所Uranium Finance因为一个漏洞损失了5000万美元的代币。到目前为止，在黑客的非法所得中，只有总价值900万美元的ETH和BTC成功转移出了币安智能链。

翻译：Maya

周三凌晨，币安智能链上一家模仿Uniswap的交易所Uranium Finance因为一个漏洞损失了5000万美元的代币。

攻击者利用了一个漏洞，该漏洞自一周前交易所升级以来一直存在于Uranium V2的合约中。在向Uranium的“交易对合约”发送最低要求的代币后，攻击者抽干了多个代币对的流动性池；合约余额字段中的一个错位的零（或者说，在管理储备的部分缺少一个）为攻击载体创造了缺口。

在被盗的5000万美元中，币安区块链的原生代币（BNB）和稳定币（BUSD）的资金池各损失1800万美元。以太坊和BTCB池（币安链版的比特币（BTC，-2.14%））总共损失了价值约900万美元的代币。另外670万美元的USDT（-0.07%）和170万美元的DOT（-1.78%）、ADA（-0.51%）和Uranium自己的代币也从其他池中消失了。

根据The Block研究员Igor Igamberdiev的说法，黑客攻击后，BTCB已经被换成了真正的BTC，而ETH（+2.56%）被放在一个名为Tornado Cash的以太坊混合器中。

值得注意的是，根据过去BSC上针对漏洞的黑客事件，BNB和BUSD可以通过回滚来恢复，尽管币安没有就此事发布公告。

“整个农场面临风险”

这个漏洞存在于所有Uranium v2池中。匿名的Uranium社区成员Baymax在Telegram上发布的消息警告用户“停止增加流动性......如果可以的话，消除流动性”，因为这个漏洞仍然使这些v2合约中数百万美元的代币面临风险。

Baymax建议用户迁移到v2.1合约，其中包括对该漏洞的修复。值得注意的是，这次攻击是在v2.1版上线前两小时发生的，尽管自Uranium上次升级到v2版以来，该漏洞在一周多以前就已经存在。

“如你们所知，我们委托进行了一次审计，发现的问题中，有一个严重性不高的问题。开发人员深入挖掘，发现了一个让整个农场面临风险的问题，” Baymax发布的公开信息写道。

“Uranium总共有7个人知道这个漏洞。在Uranium外部，3个审计师承包商和他们各自的分管人员，他们可能知道这个漏洞，” 公开信息中提到。在这些信息的后面，Baymax假设“有人泄露了漏洞的存在”，导致攻击者利用了这个漏洞。

Baymax没有回应有关Uranium代码审计师的后续问题。

Baymax在与CoinDesk交谈时也否认除了作为“社区成员”之外还与Uranium有任何关系。截至记者发稿时，无论是Uranium的核心团队还是其他成员，都没有作出回应。