Seorang pengguna Uniswap kehilangan Ethereum (ETH) senilai lebih dari $8 juta setelah penyerang menggunakan kontrak airdrop berbahaya untuk menargetkan penyedia likuiditas (LP) proyek.
Airdrop palsu menawarkan 400 token UNI gratis senilai sekitar $2.000. Pengguna diminta untuk menautkan dompet cryptocurrency mereka untuk meminta dana. Namun, berkat kampanye phishing yang canggih, penyerang berhasil mencuri lebih dari 7.500 ETH.
Protokol Uniswap v3
Menurut peneliti keamanan MetaMask Harry Denley, token berbahaya yang disamarkan sebagai token airdrop dikirim ke sekitar 73.399 alamat dompet yang terhubung dengan Uniswap.
Kode kontrak pintar berbahaya yang disebarkan di Etherscan belum diverifikasi, yang biasanya dilakukan oleh proyek yang sah. Informasi yang terkandung dalam kontrak pintar kemudian mengarah ke situs web yang dimaksudkan untuk memungkinkan pengguna menukar token baru mereka dengan Uniswap, masing-masing senilai $ 5,34.
Pesan tersebut mengklaim mendistribusikan token UNI ke penyedia likuiditas berdasarkan jumlah token LP palsu yang diterima.
Token UniswapLP yang berbahaya tampaknya berasal dari kontrak “Uniswap V3: Positions NFT” yang sah dengan memanipulasi bidang “Dari” di penjelajah transaksi blockchain.
Penyedia likuiditas adalah penyedia yang memasok aset kripto mereka ke platform untuk membantu mendesentralisasikan perdagangan. Sebagai imbalannya, itu dihargai dengan komisi yang dihasilkan oleh transaksi di platform, yang dapat dianggap sebagai bentuk pendapatan pasif.
Setelah distribusi, peretas menipu pengguna untuk menandatangani transaksi yang memberi mereka akses ke semua token LP Uniswap yang dipegang oleh pengguna. Pesan phishing, pada kenyataannya, mengizinkan kontrak cerdas yang mendasarinya untuk mentransfer aktivitas dari dompet pengguna dan mendapatkan kontrol penuh.
Data Blockchain
Menurut data dari Etherscan, sejauh ini lebih dari 74.000 dompet telah berinteraksi dengan kontrak pintar penipuan phishing.
Satu orang, yang menyediakan Bitcoin (WBTC) dan koin USD senilai lebih dari $8 juta (kutipan USDC) ke kumpulan likuiditas WBTC / USDC, tanpa sadar berinteraksi dengan penipuan phishing. Penyerang kemudian menguasai portofolio, keluar dari posisi LP dan menarik semua likuiditas dari Uniswap.
Data dari blockchain juga menunjukkan bahwa penyerang mulai memindahkan dana curian melalui protokol privasi Tornado Cash pada hari Selasa.
