Użytkownik Uniswap stracił Ethereum (ETH) o wartości ponad 8 milionów dolarów po tym, jak osoba atakująca wykorzystała złośliwą umowę zrzutu, aby obrać za cel dostawców płynności (LP) projektu.
W ramach fałszywego zrzutu oferowano 400 darmowych tokenów UNI o wartości około 2.000 dolarów. Użytkownicy zostali poproszeni o połączenie swoich portfeli kryptowalut, aby poprosić o środki. Jednak dzięki wyrafinowanej kampanii phishingowej atakującym udało się ukraść ponad 7.500 ETH.
Protokół Uniswap v3
Według badacza bezpieczeństwa MetaMask, Harry'ego Denleya, do około 73.399 XNUMX adresów portfeli połączonych z Uniswapem wysłano złośliwy token udający token zrzutu.
Kod złośliwego inteligentnego kontraktu wdrożonego w Etherscan nie został zweryfikowany, co zwykle ma miejsce w przypadku legalnych projektów. Informacje zawarte w inteligentnej umowie prowadziły następnie do strony internetowej, która rzekomo umożliwiała użytkownikom wymianę nowych tokenów na Uniswap o wartości 5,34 dolara każdy.
Wiadomość sugerowała dystrybucję tokenów UNI wśród dostawców płynności na podstawie liczby otrzymanych fałszywych tokenów LP.
Wyglądało na to, że złośliwy token UniswapLP pochodzi z legalnej umowy „Uniswap V3: Pozycje NFT” poprzez manipulację polem „Od” w eksploratorze transakcji łańcucha bloków.
Dostawca płynności to ktoś, kto udostępnia swoje aktywa kryptograficzne platformie, aby pomóc w decentralizacji handlu. W zamian otrzymuje prowizje generowane od transakcji na platformie, co można uznać za formę pasywnego dochodu.
Po wdrożeniu haker nakłonił użytkowników do podpisania transakcji, która dała mu dostęp do wszystkich posiadanych przez użytkownika tokenów Uniswap LP. Wiadomość phishingowa w rzeczywistości upoważniała bazową inteligentną umowę do przeniesienia zasobów z portfela użytkownika i przejęcia nad nim pełnej kontroli.
Dane łańcucha blokowego
Według danych Etherscan do tej pory ponad 74.000 XNUMX portfeli weszło w interakcję z inteligentną umową związaną z oszustwem phishingowym.
Jedna osoba, która dostarczała zapakowane bitcoiny (WBTC) i monety USD o wartości ponad 8 milionów dolarów (cytat USDC) do puli płynności WBTC/USDC, nieświadomie wszedł w interakcję z wiadomością phishingową. Następnie atakujący przejął kontrolę nad portfelem, opuścił pozycje LP i wycofał całą płynność z Uniswap.
Dane Blockchain pokazują również, że atakujący zaczął we wtorek przenosić skradzione środki za pośrednictwem protokołu prywatności Tornado Cash.
