Un utilisateur d'Uniswap a perdu plus de 8 millions de dollars dans Ethereum (ETH) après qu'un attaquant a utilisé un contrat de largage malveillant pour cibler les fournisseurs de liquidités (LP) du projet.
Le largage frauduleux offrait 400 jetons UNI gratuits d'une valeur d'environ 2.000 7.500 dollars. Les utilisateurs ont été invités à lier leurs portefeuilles de crypto-monnaie pour demander les fonds. Cependant, grâce à la campagne de phishing sophistiquée, les attaquants ont réussi à voler plus de XNUMX XNUMX ETH.
Protocole Uniswap v3
Selon Harry Denley, chercheur en sécurité chez MetaMask, un jeton malveillant déguisé en jeton de largage aérien a été envoyé à environ 73.399 XNUMX adresses de portefeuille liées à Uniswap.
Le code de contrat intelligent malveillant déployé sur Etherscan n'a pas été vérifié, ce que font généralement les projets légitimes. Les informations contenues dans le contrat intelligent ont ensuite conduit à un site Web censé permettre aux utilisateurs d'échanger leurs nouveaux jetons avec Uniswap, d'une valeur de 5,34 $ chacun.
Le message prétendait distribuer des jetons UNI aux fournisseurs de liquidité en fonction du nombre de faux jetons LP reçus.
Le jeton malveillant UniswapLP semblait provenir d'un contrat légitime « Uniswap V3 : Positions NFT » en manipulant le champ « De » dans l'explorateur de transactions de la blockchain.
Un fournisseur de liquidité est celui qui fournit ses actifs cryptographiques à une plate-forme pour aider à décentraliser le trading. En retour, il est récompensé par les commissions générées par les transactions sur la plateforme, ce qui peut être considéré comme une forme de revenu passif.
Après la distribution, le pirate a amené les utilisateurs à signer une transaction leur donnant accès à tous les jetons Uniswap LP détenus par l'utilisateur. Le message de phishing, en fait, a autorisé le contrat intelligent sous-jacent à transférer les activités du portefeuille de l'utilisateur et à en prendre le contrôle total.
Données de la chaîne de blocs
Selon les données d'Etherscan, plus de 74.000 XNUMX portefeuilles ont jusqu'à présent interagi avec le contrat intelligent de l'escroquerie par hameçonnage.
Une personne, qui fournissait pour plus de 8 millions de dollars de pièces emballées Bitcoin (WBTC) et USD (citation USDC) à un pool de liquidités WBTC / USDC, a interagi sans le savoir avec l'escroquerie par hameçonnage. L'attaquant a ensuite pris le contrôle du portefeuille, a quitté les positions LP et a retiré toutes les liquidités d'Uniswap.
Les données de la blockchain montrent également que l'attaquant a commencé mardi à transférer des fonds volés via le protocole de confidentialité Tornado Cash.
