Hacker UwU Lend hiện bị đánh cắp tổng cộng 24 triệu USD từ giao thức sau hai cuộc tấn công. Bất lực trong việc thỏa thuận với tin tặc, đội ngũ phát triển tuyên bố bất kỳ ai xác định được hacker sẽ nhận về 5 triệu USD.

“Thời hạn để bạn tự nguyện hoàn trả lượng tiền đánh cắp đã qua. Chúng tôi sẽ treo thưởng 5 triệu USD cho người đầu tiên phát hiện danh tính và xác định vị trí của bạn”, đại diện UwU gửi tin nhắn trực tuyến qua Etherscan cho hacker thôm 13/6, sau khi đề nghị hoàn 80% số tiền bị từ chối.

UwU cũng cam kết tiền thưởng sẽ nằm dưới dạng Ethereum và được thanh toán trước khi số tiền đánh cắp được thu hồi.

Đội ngũ UwU gửi tin nhắn cho tin tặc.

Theo công ty bảo mật blockchain Cyvers, hai vụ tấn công nhắm vào WuW Lend trong tuần qua đều do một kẻ thực hiện. Vụ đầu tiên diễn ra hôm 10/6, khiến nền tảng thiệt hại 20,3 triệu USD. Vụ thứ 2 diễn ra hôm 13/6, gây tổn thất 3,7 triệu USD, gồm các đồng LST như uDAI, uWETH, uFRAX, uCRVUSD và uUSDT. Số tiền bị đánh cắp đều được chuyển về cùng địa chỉ ví “0x841…21f47.”

Không chỉ khước từ yêu cầu giữ lại 20% số tiền và trở thành hacker mũ trắng, tin tặc tiếp tục nhắm vào UwU Lend ngay thời điểm dự án tiến hành đền bù 9,7 triệu USD cho các nạn nhân ở vụ tấn công đầu tiên. Hành động này được xem là lời tuyên chiến, buộc đội ngũ UwU Lend phải đưa mức bounty hunter lên đến 5 triệu USD, con số hiếm thấy ở các vụ hack cùng quy mô.

Theo các thông tin trước đó, hacker thực hiện tấn công bằng hình thức thao túng giá. Cụ thể, chúng sử dụng một khoản vay nhanh để hoán đổi USDe lấy các token khác, dẫn đến giá Ethena USDe (USDE) và Ethena Staked USDe (SUSDE) giảm xuống. Sau đó, hacker gửi token vào UwU Lend và cho vay nhiều SUSDE hơn dự kiến, khiến giá USDE tăng cao.

Tương tự, chúng cũng gửi SUSDE vào UwU Lend và vay nhiều token Curve DAO (CRV) hơn dự kiến, sau đó rút ra 20,3 triệu USD giá trị crypto và chuyển thành Ethereum để phi tang.

Trước tin tức tiêu cực, giá token UWU giảm khoảng 20%, xuống mức 2,51 USD, theo dữ liệu từ Coingecko.