Un usuario de Uniswap perdió más de $ 8 millones en Ethereum (ETH) después de que un atacante usó un contrato de lanzamiento aéreo malicioso para apuntar a los proveedores de liquidez (LP) del proyecto.
El airdrop fraudulento ofreció 400 tokens UNI gratuitos por un valor aproximado de $ 2.000. Se pidió a los usuarios que vincularan sus billeteras de criptomonedas para solicitar los fondos. Sin embargo, gracias a la sofisticada campaña de phishing, los atacantes lograron robar más de 7.500 ETH.
Protocolo Uniswap v3
Según el investigador de seguridad de MetaMask, Harry Denley, se envió un token malicioso disfrazado de token de lanzamiento aéreo a aproximadamente 73.399 direcciones de billetera vinculadas a Uniswap.
El código de contrato inteligente malicioso implementado en Etherscan no se ha verificado, lo que suelen hacer los proyectos legítimos. La información contenida en el contrato inteligente luego condujo a un sitio web que pretendía permitir a los usuarios intercambiar sus nuevos tokens con Uniswap, por un valor de $ 5,34 cada uno.
El mensaje afirmaba distribuir tokens UNI a proveedores de liquidez en función de la cantidad de tokens LP falsos recibidos.
El token malicioso de UniswapLP parecía provenir de un contrato legítimo de "Uniswap V3: Positions NFT" mediante la manipulación del campo "De" en el explorador de transacciones de la cadena de bloques.
Un proveedor de liquidez es aquel que suministra sus criptoactivos a una plataforma para ayudar a descentralizar el comercio. A cambio, es recompensado con las comisiones generadas por las transacciones en la plataforma, lo que puede considerarse una forma de ingreso pasivo.
Después de la distribución, el pirata informático engañó a los usuarios para que firmaran una transacción que les daba acceso a todos los tokens LP de Uniswap que tenía el usuario. El mensaje de phishing, de hecho, autorizó al contrato inteligente subyacente a transferir las actividades de la billetera del usuario y obtener el control total.
datos de la cadena de bloques
Según datos de Etherscan, más de 74.000 billeteras han interactuado con el contrato inteligente de la estafa de phishing hasta el momento.
Una persona, que estaba proporcionando más de $ 8 millones en monedas envueltas de Bitcoin (WBTC) y USD (precio USDC) a un grupo de liquidez de WBTC/USDC, sin saberlo, interactuó con la estafa de phishing. Luego, el atacante obtuvo el control de la cartera, salió de las posiciones de LP y retiró toda la liquidez de Uniswap.
Los datos de la cadena de bloques también muestran que el atacante comenzó a mover fondos robados a través del protocolo de privacidad Tornado Cash el martes.
