„Uniswap“ vartotojas prarado daugiau nei 8 mln. USD vertės „Ethereum“ (ETH) po to, kai užpuolikas pasinaudojo kenkėjiška „airdrop“ sutartimi, kad nusitaikytų į projekto likvidumo tiekėjus (LP).
Apgaulingame lėktuve buvo pasiūlyta 400 nemokamų UNI žetonų, kurių vertė maždaug 2.000 USD. Vartotojų buvo paprašyta susieti savo kriptovaliutų pinigines, kad galėtų prašyti lėšų. Tačiau dėl sudėtingos sukčiavimo kampanijos užpuolikai sugebėjo pavogti daugiau nei 7.500 ETH.
Uniswap v3 protokolas
Anot „MetaMask“ saugumo tyrėjo Harry Denley, kenkėjiškas prieigos raktas, užmaskuotas kaip „airdrop“ prieigos raktas, buvo išsiųstas į maždaug 73.399 XNUMX piniginės adresus, susietus su „Uniswap“.
Kenkėjiškas išmaniosios sutarties kodas, įdiegtas „Etherscan“, nebuvo patikrintas, o tai paprastai daro teisėti projektai. Išmaniojoje sutartyje esanti informacija vėliau atvedė į svetainę, leidžiančią vartotojams keistis naujais žetonais su Uniswap, kurių kiekvieno vertė yra 5,34 USD.
Pranešime teigiama, kad UNI žetonai buvo platinami likvidumo tiekėjams pagal gautų netikrų LP žetonų skaičių.
Panašu, kad kenkėjiškas UniswapLP prieigos raktas kilo iš teisėtos „Uniswap V3: Positions NFT“ sutarties, manipuliuojant „Blockchain“ operacijų naršyklės laukeliu „Nuo“.
Likvidumo teikėjas yra tas, kuris tiekia savo kriptovaliutų turtą platformai, kad padėtų decentralizuoti prekybą. Savo ruožtu jis apdovanojamas komisiniais, generuojamais platformoje atlikus sandorius, o tai gali būti laikoma pasyvių pajamų forma.
Po platinimo įsilaužėlis apgaule apgavo vartotojus pasirašyti sandorį, kuris suteikė jiems prieigą prie visų vartotojo turimų Uniswap LP žetonų. Sukčiavimo pranešimas iš tikrųjų leido pagrindinei išmaniajai sutartimi perkelti veiklą iš vartotojo piniginės ir įgyti visišką kontrolę.
Blockchain duomenys
Remiantis „Etherscan“ duomenimis, iki šiol daugiau nei 74.000 XNUMX piniginių sąveikavo su sukčiavimo sukčiavimo išmaniąja sutartimi.
Vienas asmuo, pateikęs daugiau nei 8 milijonų dolerių vertės supakuotų Bitcoin (WBTC) ir USD monetų (citata USDC) į WBTC / USDC likvidumo fondą, nesąmoningai sąveikavo su sukčiavimo afera. Tada užpuolikas įgijo portfelio kontrolę, išėjo iš LP pozicijų ir pašalino visą likvidumą iš Uniswap.
Blokų grandinės duomenys taip pat rodo, kad užpuolikas antradienį pradėjo perkelti pavogtas lėšas naudodamasis „Tornado Cash“ privatumo protokolu.
