Defi Protocol UniLend Finance подвергся аттаке на $197 000

12 января стартап по безопасности web3 TenArmorAlert сообщил, что злоумышленник воспользовался "процессом погашения" UniLend, манипулируя недостатком в расчете стоимости акций. Это позволило злоумышленнику искусственно увеличить стоимость своих активов и вывести средства из пула.

Злоумышленник внес USDC и Lido Staked Ether (LDO) в качестве обеспечения, взял взаймы весь пул stETH, а затем погасил свои первоначальные депозиты, не возвращая взятые токены, тем самым опустошив пул.

Около 11:19:59 утра UTC была выполнена транзакция эксплойта, при этом убытки первоначально оценивались TenArmorAlert в $196,200. Однако последующее обновление от фирмы по кибербезопасности Web3 SlowMist увеличило общую сумму потерь до $197,600.



Сектор децентрализованных финансов (DeFi) оставался главной целью для злоумышленников в последние годы. По данным компании PeckShield, занимающейся блокчейн-криминалистикой, около 60% всех взломов и мошенничеств в 2024 году были направлены против этого сектора.

Одним из крупнейших взломов в 2024 году стал взлом Radiant Capital, предположительно осуществленный печально известной группой Lazarus, что привело к потерям в размере $50 млн. Злоумышленники выдавали себя за доверенного бывшего подрядчика протокола DeFi, чтобы развернуть вредоносное ПО на устройствах по крайней мере трех разработчиков проекта.

В ноябре 2024 года злоумышленник опустошил ликвидные пулы Thala примерно на $25,5 млн, используя уязвимость в контрактах фермерства протокола. К счастью, злоумышленник согласился на вознаграждение в размере $300,000 и вернул все украденные активы.