En Uniswap-bruger mistede Ethereum (ETH) for over 8 millioner dollars, efter at en angriber brugte en ondsindet airdrop-kontrakt til at målrette projektets likviditetsudbydere (LP'er).
Den svigagtige airdrop tilbød 400 gratis UNI-tokens til en værdi af omkring $2.000. Brugere blev bedt om at forbinde deres cryptocurrency-punge for at anmode om penge. Men takket være den sofistikerede phishing-kampagne lykkedes det angriberne at stjæle over 7.500 ETH.
Uniswap protokol v3
Ifølge MetaMask-sikkerhedsforsker Harry Denley, blev cirka 73.399 Uniswap-linkede tegnebogsadresser sendt til et ondsindet token, der er maskeret som et airdrop-token.
Den ondsindede smarte kontraktkode, der er installeret på Etherscan, er ikke blevet verificeret, hvilket legitime projekter normalt gør. Oplysningerne indeholdt i den smarte kontrakt førte derefter til et websted, der foregav at give brugerne mulighed for at udveksle deres nye tokens til Uniswap, til en værdi af $5,34 hver.
Meddelelsen hævdede at distribuere UNI-tokens til likviditetsudbydere baseret på antallet af modtagne falske LP-tokens.
Det ondsindede UniswapLP-token så ud til at komme fra en legitim kontrakt "Uniswap V3: Positions NFT" ved at manipulere "Fra"-feltet i blockchain-transaktionsudforskeren.
En likviditetsudbyder er en, der leverer deres kryptoaktiver til en platform for at hjælpe med at decentralisere handel. Til gengæld bliver han belønnet med kommissioner genereret af transaktioner på platformen, som kan betragtes som en form for passiv indkomst.
Efter distributionen narrede hackeren brugerne til at underskrive en transaktion, der gav ham adgang til alle Uniswap LP-tokens, som brugeren havde. Faktisk autoriserede phishing-meddelelsen den underliggende smarte kontrakt til at overføre aktiverne fra brugerens tegnebog og få fuld kontrol over den.
Blockchain data
Mere end 74.000 tegnebøger har hidtil interageret med phishing-svindel-smart-kontrakten ifølge Etherscan-data.
En person, som leverede indpakkede Bitcoin (WBTC) og USD-mønter til en værdi af over 8 millioner USD (citat USDC) til en WBTC/USDC-likviditetspulje, ubevidst interageret med phishing-svindel. Angriberen fik derefter kontrol over tegnebogen, forlod LP-positionerne og hævede alle kontanter fra Uniswap.
Blockchain-dataene viser også, at angriberen begyndte at flytte de stjålne midler gennem Tornado Cash-privatlivsprotokollen tirsdag.
