Seorang pengguna Uniswap kerugian lebih $8 juta dalam Ethereum (ETH) selepas penyerang menggunakan kontrak airdrop berniat jahat untuk menyasarkan penyedia kecairan (LP) projek.
Airdrop penipuan menawarkan 400 token UNI percuma bernilai kira-kira $ 2.000. Pengguna diminta untuk memautkan dompet mata wang kripto mereka untuk meminta dana. Walau bagaimanapun, terima kasih kepada kempen pancingan data yang canggih, penyerang berjaya mencuri lebih 7.500 ETH.
Protokol Uniswap v3
Menurut penyelidik keselamatan MetaMask Harry Denley, token berniat jahat yang menyamar sebagai token airdrop telah dihantar ke kira-kira 73.399 alamat dompet yang dikaitkan dengan Uniswap.
Kod kontrak pintar berniat jahat yang digunakan pada Etherscan belum disahkan, yang biasanya dilakukan oleh projek sah. Maklumat yang terkandung dalam kontrak pintar itu kemudiannya membawa kepada laman web yang dikatakan membenarkan pengguna menukar token baharu mereka dengan Uniswap, bernilai $5,34 setiap satu.
Mesej itu mendakwa mengedarkan token UNI kepada penyedia kecairan berdasarkan bilangan token LP palsu yang diterima.
Token UniswapLP yang berniat jahat nampaknya datang daripada kontrak “Uniswap V3: Positions NFT” yang sah dengan memanipulasi medan “Daripada” dalam penjelajah transaksi blokchain.
Pembekal kecairan ialah mereka yang membekalkan aset kripto mereka kepada platform untuk membantu memusatkan dagangan. Sebagai balasan, ia diberi ganjaran dengan komisen yang dijana oleh transaksi di platform, yang boleh dianggap sebagai satu bentuk pendapatan pasif.
Selepas pengedaran, penggodam menipu pengguna untuk menandatangani transaksi yang memberi mereka akses kepada semua token LP Uniswap yang dipegang oleh pengguna. Mesej pancingan data, sebenarnya, membenarkan kontrak pintar yang mendasari untuk memindahkan aktiviti daripada dompet pengguna dan mendapatkan kawalan penuh.
Data rantaian sekat
Menurut data dari Etherscan, lebih daripada 74.000 dompet telah berinteraksi dengan kontrak pintar penipuan pancingan data setakat ini.
Seorang, yang menyediakan lebih daripada $8 juta Bitcoin yang dibungkus (WBTC) dan syiling USD (sebut harga USDC) kepada kumpulan kecairan WBTC / USDC, tanpa disedari telah berinteraksi dengan penipuan pancingan data. Penyerang kemudiannya menguasai portfolio, keluar dari kedudukan LP dan menarik balik semua kecairan daripada Uniswap.
Data daripada blockchain juga menunjukkan bahawa penyerang mula memindahkan dana yang dicuri melalui protokol privasi Tornado Cash pada hari Selasa.
