Een Uniswap-gebruiker verloor meer dan $ 8 miljoen aan Ethereum (ETH) nadat een aanvaller een kwaadaardig airdrop-contract had gebruikt om de liquidity providers (LP's) van het project aan te vallen.
De frauduleuze airdrop bood 400 gratis UNI-tokens ter waarde van ongeveer $ 2.000. Gebruikers werd gevraagd om hun cryptocurrency-wallets te koppelen om het geld op te vragen. Dankzij de geavanceerde phishing-campagne slaagden de aanvallers er echter in om meer dan 7.500 ETH te stelen.
Uniswap v3-protocol
Volgens MetaMask-beveiligingsonderzoeker Harry Denley werd een kwaadaardige token vermomd als een airdrop-token verzonden naar ongeveer 73.399 portemonnee-adressen die zijn gekoppeld aan Uniswap.
De kwaadaardige slimme contractcode die op Etherscan is geïmplementeerd, is niet geverifieerd, wat legitieme projecten meestal doen. De informatie in het slimme contract leidde vervolgens naar een website die beweerde gebruikers in staat te stellen hun nieuwe tokens in te wisselen met Uniswap, ter waarde van $ 5,34 per stuk.
Het bericht beweerde UNI-tokens te distribueren naar liquiditeitsverschaffers op basis van het aantal ontvangen nep-LP-tokens.
Het kwaadaardige UniswapLP-token leek afkomstig te zijn van een legitiem "Uniswap V3: Positions NFT" -contract door het "Van" -veld in de transactieverkenner van de blockchain te manipuleren.
Een liquiditeitsverschaffer is iemand die zijn crypto-activa aan een platform levert om de handel te decentraliseren. In ruil daarvoor wordt het beloond met de commissies die worden gegenereerd door transacties op het platform, wat kan worden beschouwd als een vorm van passief inkomen.
Na distributie misleidde de hacker gebruikers om een transactie te ondertekenen die hen toegang gaf tot alle Uniswap LP-tokens die door de gebruiker werden bewaard. Het phishingbericht autoriseerde in feite het onderliggende slimme contract om de activiteiten van de portemonnee van de gebruiker over te dragen en volledige controle te krijgen.
Blockchain-gegevens
Volgens gegevens van Etherscan hebben tot nu toe meer dan 74.000 portemonnees gebruik gemaakt van het slimme contract van de phishing-zwendel.
Eén persoon, die voor meer dan $ 8 miljoen aan ingepakte Bitcoin (WBTC) en USD-munten (citaat USDC) naar een WBTC / USDC-liquiditeitspool, die onbewust interactie heeft gehad met de phishing-zwendel. De aanvaller kreeg vervolgens de controle over de portefeuille, verliet de LP-posities en trok alle liquiditeit terug uit Uniswap.
Uit gegevens van de blockchain blijkt ook dat de aanvaller dinsdag begon met het verplaatsen van gestolen geld via het Tornado Cash-privacyprotocol.
