خسر مستخدم Uniswap أكثر من 8 ملايين دولار من Ethereum (ETH) بعد أن استخدم المهاجم عقد إسقاط جوي ضار لاستهداف مزودي السيولة للمشروع (LPs).
قدم الإنزال الجوي الاحتيالي 400 من رموز UNI المجانية تبلغ قيمتها حوالي 2.000 دولار. طُلب من المستخدمين ربط محافظ العملة المشفرة الخاصة بهم لطلب الأموال. ومع ذلك ، بفضل حملة التصيد المتطورة ، تمكن المهاجمون من سرقة أكثر من 7.500 ETH.
بروتوكول Uniswap v3
وفقًا للباحث الأمني في MetaMask هاري دينلي ، تم إرسال ما يقرب من 73.399،XNUMX عنوانًا للمحفظة المرتبطة بـ Uniswap برمز خبيث يتنكر في شكل رمز مميز للإسقاط الجوي.
لم يتم التحقق من رمز العقد الذكي الخبيث المنشور على Etherscan ، وهو ما تفعله المشاريع المشروعة عادةً. أدت المعلومات الواردة في العقد الذكي بعد ذلك إلى موقع ويب يُزعم أنه يسمح للمستخدمين بتبادل الرموز الجديدة الخاصة بهم مقابل Uniswap ، بقيمة 5,34 دولار لكل منها.
ادعت الرسالة توزيع رموز UNI على مزودي السيولة بناءً على عدد رموز LP المزيفة المستلمة.
يبدو أن رمز UniswapLP الضار يأتي من عقد شرعي "Uniswap V3: Positions NFT" من خلال معالجة الحقل "من" في مستكشف المعاملات في blockchain.
مزود السيولة هو الشخص الذي يوفر أصول التشفير إلى منصة للمساعدة في تحقيق اللامركزية في التداول. في المقابل ، تتم مكافأته على العمولات الناتجة عن المعاملات على المنصة ، والتي يمكن اعتبارها شكلاً من أشكال الدخل السلبي.
بعد التوزيع ، خدع المخترق المستخدمين ليوقعوا معاملة منحته حق الوصول إلى جميع رموز Uniswap LP التي يحتفظ بها المستخدم. في الواقع ، سمحت رسالة التصيد الاحتيالي للعقد الذكي الأساسي بنقل الأصول من محفظة المستخدم والسيطرة الكاملة عليها.
بيانات Blockchain
تفاعلت أكثر من 74.000 محفظة مع العقد الذكي لخداع التصيد الاحتيالي حتى الآن ، وفقًا لبيانات Etherscan.
شخص واحد كان يوفر أكثر من 8 ملايين دولار من عملات البيتكوين (WBTC) والعملات المعدنية بالدولار الأمريكي (اقتباس USDC) إلى تجمع سيولة WBTC / USDC ، تفاعل عن غير قصد مع عملية التصيد الاحتيالي. ثم سيطر المهاجم على المحفظة ، وخرج من مواقع LP وسحب جميع الأموال النقدية من Uniswap.
تُظهر بيانات blockchain أيضًا أن المهاجم بدأ في نقل الأموال المسروقة من خلال بروتوكول خصوصية Tornado Cash يوم الثلاثاء.
