Korisnik Uniswapa izgubio je Ethereum (ETH) vrijedan više od 8 milijuna dolara nakon što je napadač upotrijebio zlonamjerni airdrop ugovor za ciljanje pružatelja likvidnosti projekta (LP).
Lažni airdrop ponudio je 400 besplatnih UNI tokena u vrijednosti od približno 2.000 USD. Korisnici su zamoljeni da povežu svoje novčanike za kriptovalute kako bi zatražili sredstva. Međutim, zahvaljujući sofisticiranoj phishing kampanji, napadači su uspjeli ukrasti preko 7.500 ETH.
Uniswap v3 protokol
Prema istraživaču sigurnosti MetaMaska Harryju Denleyju, zlonamjerni token prerušen u airdrop token poslan je na otprilike 73.399 adresa novčanika povezanih s Uniswapom.
Zlonamjerni kod pametnog ugovora postavljen na Etherscan nije provjeren, što legitimni projekti obično rade. Informacije sadržane u pametnom ugovoru zatim su dovele do web stranice koja navodno omogućuje korisnicima da razmijene svoje nove tokene s Uniswapom, u vrijednosti od 5,34 dolara po komadu.
Poruka je tvrdila da distribuira UNI tokene pružateljima likvidnosti na temelju broja primljenih lažnih LP tokena.
Čini se da zlonamjerni UniswapLP token dolazi iz legitimnog ugovora “Uniswap V3: Positions NFT” manipulirajući poljem “From” u pretraživaču transakcija blockchaina.
Pružatelj likvidnosti je onaj koji opskrbljuje svoju kripto imovinu platformi kako bi pomogao decentralizirati trgovanje. Zauzvrat se nagrađuje provizijama ostvarenim transakcijama na platformi, što se može smatrati oblikom pasivnog prihoda.
Nakon distribucije, haker je prevario korisnike da potpišu transakciju koja im je omogućila pristup svim Uniswap LP tokenima koje korisnik ima. Phishing poruka je zapravo ovlastila temeljni pametni ugovor za prijenos aktivnosti iz korisnikovog novčanika i stjecanje potpune kontrole.
Blockchain podaci
Prema podacima iz Etherscana, više od 74.000 novčanika dosad je stupilo u interakciju s pametnim ugovorom phishing prijevare.
Jedna osoba, koja je davala zamotane Bitcoin (WBTC) i USD kovanice u vrijednosti od preko 8 milijuna dolara (citat USDC) u fond likvidnosti WBTC / USDC, nesvjesno stupio u interakciju s prijevarom krađe identiteta. Napadač je potom preuzeo kontrolu nad portfeljem, napustio LP pozicije i povukao svu likvidnost iz Uniswapa.
Podaci iz blockchaina također pokazuju da je napadač u utorak počeo premještati ukradena sredstva kroz Tornado Cash protokol privatnosti.
