Uniswap-käyttäjä menetti yli 8 miljoonan dollarin arvosta Ethereumia (ETH), kun hyökkääjä käytti haitallista airdrop-sopimusta kohteenakseen projektin likviditeetin tarjoajia (LP:t).
Vilpillinen airdrop tarjosi 400 ilmaista UNI-rahaketta, joiden arvo oli noin 2.000 7.500 dollaria. Käyttäjiä pyydettiin yhdistämään kryptovaluuttalompakkonsa varojen pyytämiseksi. Hienostuneen tietojenkalastelukampanjan ansiosta hyökkääjät onnistuivat kuitenkin varastamaan yli XNUMX XNUMX ETH:ta.
Uniswap v3-protokolla
MetaMaskin tietoturvatutkijan Harry Denleyn mukaan airdrop-tunnukseksi naamioitu haitallinen token lähetettiin noin 73.399 XNUMX Uniswapiin linkitettyyn lompakko-osoitteeseen.
Etherscanissa käytettyä haitallista älykkään sopimuskoodia ei ole vahvistettu, kuten lailliset projektit yleensä tekevät. Älykkään sopimuksen sisältämät tiedot johtivat sitten verkkosivustolle, jonka väitetään antavan käyttäjien vaihtaa uudet tunnuksensa Uniswapilla, kunkin arvoltaan 5,34 dollaria.
Viesti väitti jakavansa UNI-tokeneita likviditeetin tarjoajille vastaanotettujen väärennettyjen LP-tokenien määrän perusteella.
Haitallinen UniswapLP-tunnus näytti tulevan laillisesta "Uniswap V3: Positions NFT" -sopimuksesta manipuloimalla "From"-kenttää lohkoketjun tapahtumaselviimessä.
Likviditeetin tarjoaja on se, joka toimittaa kryptoomaisuutensa alustalle kaupankäynnin hajauttamiseksi. Vastineeksi se palkitaan alustalla suoritetuista tapahtumista syntyvillä palkkioilla, joita voidaan pitää eräänlaisena passiivisena tulona.
Jakelun jälkeen hakkeri huijasi käyttäjiä allekirjoittamaan tapahtuman, joka antoi heille pääsyn kaikkiin käyttäjän hallussa oleviin Uniswap LP -tokeneihin. Tietojenkalasteluviesti itse asiassa valtuutti taustalla olevan älysopimuksen siirtämään toiminnot käyttäjän lompakosta ja saamaan täyden hallinnan.
Lohkoketjun tiedot
Etherscanin tietojen mukaan yli 74.000 XNUMX lompakkoa on ollut vuorovaikutuksessa phishing-huijauksen älykkään sopimuksen kanssa.
Yksi henkilö, joka toimitti yli 8 miljoonan dollarin arvosta käärittyjä Bitcoin- (WBTC) ja USD-kolikoita (lainaus USDC) WBTC / USDC likviditeettipooliin, joka oli tietämättään vuorovaikutuksessa tietojenkalasteluhuijauksen kanssa. Hyökkääjä sai sitten salkun hallintaansa, poistui LP-asemista ja veti kaiken likviditeetin Uniswapista.
Lohkoketjun tiedot osoittavat myös, että hyökkääjä alkoi siirtää varastettuja varoja Tornado Cash -tietosuojaprotokollan kautta tiistaina.
