Uživatel Uniswapu přišel o více než 8 milionů dolarů v Ethereu (ETH) poté, co útočník použil škodlivý airdrop kontrakt k zacílení na poskytovatele likvidity projektu (LP).
Podvodný výsadek nabídl 400 bezplatných UNI tokenů v hodnotě přibližně 2.000 7.500 $. Uživatelé byli požádáni, aby propojili své kryptoměnové peněženky a požádali o finanční prostředky. Díky propracované phishingové kampani se však útočníkům podařilo ukrást přes XNUMX XNUMX ETH.
Uniswap v3 protokol
Podle bezpečnostního výzkumníka MetaMask Harryho Denleyho byl škodlivý token maskovaný jako airdrop token odeslán na přibližně 73.399 XNUMX adres peněženek spojených s Uniswap.
Škodlivý kód inteligentní smlouvy nasazený na Etherscan nebyl ověřen, což legitimní projekty obvykle dělají. Informace obsažené v chytré smlouvě pak vedly k vytvoření webové stránky, která měla uživatelům umožnit výměnu jejich nových tokenů s Uniswapem, každý v hodnotě 5,34 $.
Zpráva tvrdila, že distribuuje UNI tokeny poskytovatelům likvidity na základě počtu obdržených falešných LP tokenů.
Zdá se, že škodlivý token UniswapLP pochází z legitimní smlouvy „Uniswap V3: Positions NFT“ manipulací s polem „Od“ v průzkumníku transakcí blockchainu.
Poskytovatel likvidity je ten, kdo dodává svá kryptoaktiva na platformu, která pomáhá decentralizovat obchodování. Na oplátku je odměňován provizemi generovanými transakcemi na platformě, což lze považovat za formu pasivního příjmu.
Po distribuci hacker oklamal uživatele, aby podepsali transakci, která jim poskytla přístup ke všem tokenům Uniswap LP, které uživatel drží. Phishingová zpráva ve skutečnosti autorizovala základní inteligentní smlouvu k přenosu aktivit z peněženky uživatele a získání plné kontroly.
Blockchain data
Podle údajů z Etherscanu více než 74.000 XNUMX peněženek dosud interagovalo s chytrým kontraktem phishingového podvodu.
Jedna osoba, která poskytla zabalené bitcoiny (WBTC) a USD v hodnotě více než 8 milionů dolarů (citát USDC) do fondu likvidity WBTC / USDC, nevědomky interagoval s phishingovým podvodem. Útočník poté získal kontrolu nad portfoliem, opustil LP pozice a stáhl veškerou likviditu z Uniswapu.
Data z blockchainu také ukazují, že útočník v úterý začal přesouvat ukradené finanční prostředky prostřednictvím protokolu Tornado Cash.
