Un utente di Uniswap ha perso oltre 8 milioni di dollari di Ethereum (ETH) dopo che un aggressore ha utilizzato un contratto di airdrop dannoso per colpire i fornitori di liquidità (LP) del progetto.
L’airdrop fraudolento offriva 400 token UNI gratuiti per un valore di circa 2.000 dollari. Agli utenti veniva chiesto di collegare i loro portafogli di criptovalute per richiedere i fondi. Tuttavia, grazie alla sofisticata campagna di phishing, gli aggressori sono riusciti a portare via oltre 7.500 ETH.
Protocollo Uniswap v3
Secondo il ricercatore di sicurezza di MetaMask Harry Denley, a circa 73.399 indirizzi di portafogli collegati a Uniswap è stato inviato un token maligno mascherato da token airdrop.
Il codice dello smart contract maligno distribuito su Etherscan non è stato verificato, cosa che di solito fanno i progetti legittimi. Le informazioni contenute nello smart contract portavano poi a un sito web che pretendeva di consentire agli utenti di scambiare i loro nuovi token con Uniswap, del valore di 5,34 dollari ciascuno.
Il messaggio affermava di distribuire i gettoni UNI ai fornitori di liquidità in base al numero di gettoni LP falsi ricevuti.
Il token UniswapLP malevolo sembrava provenire da un contratto legittimo “Uniswap V3: Positions NFT” manipolando il campo “From” nell’esploratore delle transazioni della blockchain.
Un fornitore di liquidità è colui che fornisce i propri asset crittografici a una piattaforma per contribuire alla decentralizzazione del trading. In cambio viene ricompensato con le commissioni generate dalle transazioni sulla piattaforma, che possono essere considerate una forma di reddito passivo.
Dopo la distribuzione, l’hacker ha indotto gli utenti a firmare una transazione che gli ha dato accesso a tutti i token Uniswap LP detenuti dall’utente. Il messaggio di phishing, infatti, autorizzava lo smart contract sottostante a trasferire le attività dal portafoglio dell’utente e a ottenerne il pieno controllo.
Dati Blockchain
Secondo i dati di Etherscan, finora più di 74.000 portafogli hanno interagito con lo smart contract della truffa di phishing.
Una persona, che stava fornendo oltre 8 milioni di dollari di Bitcoin avvolti (WBTC) e monete USD (quotazione USDC) a un pool di liquidità WBTC/USDC, ha inconsapevolmente interagito con il messaggio di phishing. L’aggressore ha quindi ottenuto il controllo del portafoglio, è uscito dalle posizioni dell’LP e ha ritirato tutta la liquidità da Uniswap.
I dati della blockchain mostrano inoltre che l’aggressore ha iniziato a spostare i fondi rubati attraverso il protocollo di privacy Tornado Cash martedì.
