Ένας χρήστης Uniswap έχασε Ethereum (ETH) αξίας άνω των 8 εκατομμυρίων δολαρίων αφού ένας εισβολέας χρησιμοποίησε ένα κακόβουλο συμβόλαιο airdrop για να στοχεύσει τους παρόχους ρευστότητας του έργου (LPs).
Το δόλιο airdrop προσέφερε 400 δωρεάν μάρκες UNI αξίας περίπου 2.000 $. Ζητήθηκε από τους χρήστες να συνδέσουν τα πορτοφόλια κρυπτονομισμάτων τους για να ζητήσουν χρήματα. Ωστόσο, χάρη στην εξελιγμένη εκστρατεία phishing, οι εισβολείς κατάφεραν να κλέψουν πάνω από 7.500 ETH.
Πρωτόκολλο Unswap v3
Σύμφωνα με τον ερευνητή ασφάλειας του MetaMask, Χάρι Ντένλεϊ, περίπου 73.399 διευθύνσεις πορτοφολιού που συνδέονται με Uniswap στάλθηκαν ένα κακόβουλο διακριτικό που μεταμφιέζεται σε διακριτικό airdrop.
Ο κακόβουλος κώδικας έξυπνου συμβολαίου που αναπτύσσεται στο Etherscan δεν έχει επαληθευτεί, κάτι που συνήθως κάνουν τα νόμιμα έργα. Οι πληροφορίες που περιέχονται στο έξυπνο συμβόλαιο οδήγησαν στη συνέχεια σε έναν ιστότοπο που υποτίθεται ότι επιτρέπει στους χρήστες να ανταλλάσσουν τα νέα τους token για το Uniswap, αξίας 5,34 $ το καθένα.
Το μήνυμα ισχυριζόταν ότι διανέμει μάρκες UNI σε παρόχους ρευστότητας με βάση τον αριθμό των πλαστών διακριτικών LP που ελήφθησαν.
Το κακόβουλο διακριτικό UniswapLP φάνηκε να προέρχεται από μια νόμιμη σύμβαση «Uniswap V3: Θέσεις NFT» χειραγωγώντας το πεδίο «Από» στον εξερευνητή συναλλαγών του blockchain.
Ένας πάροχος ρευστότητας είναι αυτός που παρέχει τα κρυπτογραφικά του στοιχεία σε μια πλατφόρμα για να βοηθήσει στην αποκέντρωση των συναλλαγών. Σε αντάλλαγμα, ανταμείβεται με προμήθειες που δημιουργούνται από συναλλαγές στην πλατφόρμα, οι οποίες μπορούν να θεωρηθούν μια μορφή παθητικού εισοδήματος.
Μετά τη διανομή, ο χάκερ εξαπάτησε τους χρήστες να υπογράψουν μια συναλλαγή που του έδινε πρόσβαση σε όλα τα διακριτικά Uniswap LP που κατείχε ο χρήστης. Στην πραγματικότητα, το μήνυμα ηλεκτρονικού ψαρέματος εξουσιοδότησε το υποκείμενο έξυπνο συμβόλαιο να μεταφέρει τα περιουσιακά στοιχεία από το πορτοφόλι του χρήστη και να αποκτήσει τον πλήρη έλεγχό του.
Δεδομένα Blockchain
Περισσότερα από 74.000 πορτοφόλια έχουν αλληλεπιδράσει με το έξυπνο συμβόλαιο απάτης phishing μέχρι στιγμής, σύμφωνα με δεδομένα Etherscan.
Ένα άτομο, το οποίο παρείχε περιτυλιγμένα νομίσματα Bitcoin (WBTC) και USD αξίας άνω των 8 εκατομμυρίων δολαρίων (προσφορά USDC) σε μια ομάδα ρευστότητας WBTC/USDC, αλληλεπίδραση εν αγνοία της με την απάτη ηλεκτρονικού ψαρέματος. Στη συνέχεια, ο εισβολέας απέκτησε τον έλεγχο του πορτοφολιού, έφυγε από τις θέσεις LP και απέσυρε όλα τα μετρητά από το Uniswap.
Τα δεδομένα του blockchain δείχνουν επίσης ότι ο εισβολέας άρχισε να μετακινεί τα κλεμμένα κεφάλαια μέσω του πρωτοκόλλου απορρήτου Tornado Cash την Τρίτη.
