En Uniswap-bruker tapte over 8 millioner dollar i Ethereum (ETH) etter at en angriper brukte en ondsinnet airdrop-kontrakt for å målrette mot prosjektets likviditetsleverandører (LP-er).
Den uredelige airdrop tilbød 400 gratis UNI-tokens verdt omtrent $2.000. Brukere ble bedt om å koble sammen sine kryptovaluta-lommebøker for å be om midlene. Men takket være den sofistikerte phishing-kampanjen klarte angriperne å stjele over 7.500 ETH.
Uniswap v3-protokoll
I følge MetaMask-sikkerhetsforsker Harry Denley ble et ondsinnet token forkledd som et airdrop-token sendt til omtrent 73.399 XNUMX lommebokadresser knyttet til Uniswap.
Den ondsinnede smarte kontraktskoden som er distribuert på Etherscan er ikke verifisert, noe legitime prosjekter vanligvis gjør. Informasjonen i den smarte kontrakten førte deretter til et nettsted som påstod å tillate brukere å bytte ut sine nye tokens med Uniswap, verdt $ 5,34 hver.
Meldingen hevdet å distribuere UNI-tokens til likviditetsleverandører basert på antall falske LP-tokens mottatt.
Det ondsinnede UniswapLP-tokenet så ut til å komme fra en legitim "Uniswap V3: Positions NFT"-kontrakt ved å manipulere "Fra"-feltet i blokkjedens transaksjonsutforsker.
En likviditetsleverandør er en som leverer sine kryptoaktiva til en plattform for å hjelpe til med å desentralisere handel. Til gjengjeld belønnes den med provisjonene som genereres av transaksjoner på plattformen, som kan betraktes som en form for passiv inntekt.
Etter distribusjon lurte hackeren brukere til å signere en transaksjon som ga dem tilgang til alle Uniswap LP-tokens som brukeren har. Phishing-meldingen ga faktisk den underliggende smarte kontrakten tillatelse til å overføre aktiviteter fra brukerens lommebok og få full kontroll.
Blockchain-data
I følge data fra Etherscan har mer enn 74.000 XNUMX lommebøker samhandlet med phishing-svindelens smarte kontrakt så langt.
En person, som ga over 8 millioner dollar i innpakket Bitcoin (WBTC) og USD-mynter (sitat USDC) til en WBTC / USDC likviditetspool, uvitende samhandlet med phishing-svindel. Angriperen fikk deretter kontroll over porteføljen, forlot LP-posisjonene og trakk all likviditet fra Uniswap.
Data fra blokkjeden viser også at angriperen begynte å flytte stjålne midler gjennom Tornado Cash personvernprotokoll på tirsdag.