Huhtikuun 18.-19. päivinä Uniswap- ja Lendf.me -palveluista vietiin kasapäin kryptovaluuttaa. Todennäköisesti molempiin palveluihin murtautui sama taho, Zdnet uutisoi.

Uniswapin kohdalla hakkereiden mukaan karkasi 300 000 – 1,1 miljoonaa dollaria, Lendf.me puolestaan menetti yli 24,5 miljoonaa dollaria.

Molemmat palvelut käyttivät kryptovaluutan lainaamiseen kehitettyä Lendf.me -protokollaa, bitcoinin kanssa samanarvoista imBTC-rahaketta ja ethereumin perustekniikoihin kuuluvaa, haavoittumattomaksi uskottua ERC-777 -rahakestandardia. Vaikka ERC-777 itsessään olisikin hakkeroinninkestävä, onnistui hyökkäys muiden Uniswap- ja Lendf.me -palveluiden aukkojen kautta.

Hyökkäys tehtiin mitä ilmeisimmin hyödyntämällä GitHub-palvelussa kesällä 2019 julkaistua haavoittuvuutta. Asian toi silloin julkisuuteen kryptovaluuttapalveluita auditoiva OpenZeppelin.

Molemmat palvelut on suljettu lisähyökkäyksien estämiseksi. ImBTC-rahakkeesta vastaava Tokenlon on myös jäädyttänyt toistaiseksi kaikki imBTC-siirrot estääkseen hakkereita käyttämästä samaa tekniikkaa uusiin hyökkäyksiin.