Uniswap lietotājs Ethereum (ETH) zaudēja vairāk nekā 8 miljonus ASV dolāru pēc tam, kad uzbrucējs izmantoja ļaunprātīgu airdrop līgumu, lai mērķētu uz projekta likviditātes nodrošinātājiem (LP).
Krāpnieciskā lidmašīna piedāvāja 400 bezmaksas UNI žetonus aptuveni 2.000 USD vērtībā. Lai pieprasītu līdzekļus, lietotājiem tika lūgts saistīt savus kriptovalūtas makus. Tomēr, pateicoties sarežģītajai pikšķerēšanas kampaņai, uzbrucējiem izdevās nozagt vairāk nekā 7.500 ETH.
Uniswap v3 protokols
Saskaņā ar MetaMask drošības pētnieka Harija Denlija teikto, ļaunprātīgs marķieris, kas slēpts kā airdrop marķieris, tika nosūtīts uz aptuveni 73.399 XNUMX maku adresēm, kas saistītas ar Uniswap.
Ļaunprātīgais viedā līguma kods, kas izvietots Etherscan, nav pārbaudīts, ko parasti dara likumīgi projekti. Viedajā līgumā ietvertā informācija pēc tam noveda pie tīmekļa vietnes, kas ļauj lietotājiem apmainīties ar saviem jaunajiem marķieriem ar Uniswap, katra 5,34 USD vērtībā.
Ziņojumā tika apgalvots, ka tiek izplatīti UNI marķieri likviditātes nodrošinātājiem, pamatojoties uz saņemto viltotu LP marķieru skaitu.
Šķiet, ka ļaunprātīgais UniswapLP marķieris nāk no likumīga līguma “Uniswap V3: Position NFT”, manipulējot ar lauku “No” blokķēdes darījumu pārlūkā.
Likviditātes nodrošinātājs ir tas, kurš piegādā savus kriptovalūtu aktīvus platformai, lai palīdzētu decentralizēt tirdzniecību. Pretī tas tiek atalgots ar komisijas naudu, ko rada darījumi platformā, ko var uzskatīt par pasīvo ienākumu veidu.
Pēc izplatīšanas hakeris maldināja lietotājus parakstīt darījumu, kas viņiem deva piekļuvi visiem lietotāja rīcībā esošajiem Uniswap LP marķieriem. Pikšķerēšanas ziņojums faktiski atļāva pamatā esošajam viedajam līgumam pārsūtīt darbības no lietotāja maka un iegūt pilnīgu kontroli.
Blokķēdes dati
Saskaņā ar Etherscan datiem, līdz šim vairāk nekā 74.000 XNUMX maku ir mijiedarbojušies ar pikšķerēšanas krāpniecības viedo līgumu.
Viena persona, kas nodrošināja iesaiņotas Bitcoin (WBTC) un USD monētas vairāk nekā 8 miljonu USD vērtībā (citāts USDC) uz WBTC/USDC likviditātes kopu, neapzināti mijiedarbojoties ar pikšķerēšanas krāpniecību. Pēc tam uzbrucējs ieguva kontroli pār portfeli, izgāja no LP pozīcijām un izņēma visu likviditāti no Uniswap.
Dati no blokķēdes arī liecina, ka uzbrucējs otrdien sāka pārvietot nozagtos līdzekļus, izmantojot Tornado Cash privātuma protokolu.
