Egy Uniswap-felhasználó több mint 8 millió dollárt veszített az Ethereumban (ETH), miután egy támadó rosszindulatú airdrop szerződést használt a projekt likviditásszolgáltatóinak (LP-k) megcélzására.
A megtévesztő airdrop 400 ingyenes UNI tokent ajánlott fel körülbelül 2.000 dollár értékben. A felhasználókat arra kérték, hogy kapcsolják össze kriptovaluta pénztárcájukat, hogy kérjék az összeget. A kifinomult adathalász kampánynak köszönhetően azonban a támadóknak több mint 7.500 ETH-t sikerült ellopniuk.
Unswap v3 protokoll
Harry Denley, a MetaMask biztonsági kutatója szerint egy airdrop tokennek álcázott rosszindulatú tokent körülbelül 73.399 XNUMX Uniswaphoz kapcsolódó pénztárcacímre küldtek.
Az Etherscan rendszeren telepített rosszindulatú intelligens szerződéskódot nem ellenőrizték, amit a törvényes projektek általában megtesznek. Az intelligens szerződésben foglalt információk ezután egy weboldalhoz vezettek, amely állítólag lehetővé teszi a felhasználók számára, hogy új tokeneiket a Uniswap segítségével cseréljék ki, egyenként 5,34 dollár értékben.
Az üzenet azt állította, hogy UNI tokeneket osztanak szét a likviditásszolgáltatóknak a kapott hamis LP tokenek száma alapján.
Úgy tűnt, hogy a rosszindulatú UniswapLP token egy legitim „Uniswap V3: Positions NFT” szerződésből származik a „From” mező manipulálásával a blokklánc tranzakció-felfedezőjében.
A likviditásszolgáltató az, aki kriptoeszközeit egy platformra szállítja, hogy segítse a kereskedés decentralizálását. Cserébe a platformon lebonyolított tranzakciókból származó jutalékokkal jutalmazzák, ami egyfajta passzív jövedelemnek tekinthető.
A terjesztés után a hacker rávette a felhasználókat, hogy írjanak alá egy tranzakciót, amely hozzáférést biztosított számukra a felhasználó által birtokolt összes Uniswap LP tokenhez. Az adathalász üzenet valójában felhatalmazta a mögöttes intelligens szerződést, hogy átvigye a tevékenységeket a felhasználó pénztárcájából, és átvegye a teljes irányítást.
Blockchain adatok
Az Etherscan adatai szerint eddig több mint 74.000 XNUMX pénztárca lépett kapcsolatba az adathalász átverés intelligens szerződésével.
Egy személy, aki több mint 8 millió dollár értékű becsomagolt Bitcoin (WBTC) és USD érméket biztosított (idézet USDC) egy WBTC / USDC likviditási készletbe, és tudtukon kívül kapcsolatba került az adathalász csalással. A támadó ezután megszerezte az irányítást a portfólió felett, kilépett az LP pozíciókból, és minden likviditást megvont az Uniswaptól.
A blokklánc adatai azt is mutatják, hogy a támadó kedden megkezdte az ellopott pénzek mozgatását a Tornado Cash adatvédelmi protokollon keresztül.
