Um usuário do Uniswap perdeu mais de US$ 8 milhões em Ethereum (ETH) depois que um invasor usou um contrato de lançamento aéreo malicioso para atingir os provedores de liquidez (LPs) do projeto.
O airdrop fraudulento ofereceu 400 tokens UNI gratuitos no valor de aproximadamente US$ 2.000. Os usuários foram solicitados a vincular suas carteiras de criptomoedas para solicitar os fundos. No entanto, graças à sofisticada campanha de phishing, os invasores conseguiram roubar mais de 7.500 ETH.
Protocolo Uniswap v3
De acordo com o pesquisador de segurança da MetaMask, Harry Denley, um token malicioso disfarçado de airdrop foi enviado para aproximadamente 73.399 endereços de carteira vinculados ao Uniswap.
O código malicioso do contrato inteligente implantado no Etherscan não foi verificado, o que os projetos legítimos geralmente fazem. As informações contidas no contrato inteligente levaram a um site que pretendia permitir que os usuários trocassem seus novos tokens com a Uniswap, no valor de US$ 5,34 cada.
A mensagem alegava distribuir tokens UNI para provedores de liquidez com base no número de tokens LP falsos recebidos.
O token malicioso UniswapLP parecia vir de um contrato legítimo “Uniswap V3: Positions NFT” manipulando o campo “From” no explorador de transações do blockchain.
Um provedor de liquidez é aquele que fornece seus ativos criptográficos a uma plataforma para ajudar a descentralizar a negociação. Em troca, é recompensado com as comissões geradas pelas transações na plataforma, o que pode ser considerado uma forma de renda passiva.
Após a distribuição, o hacker induziu os usuários a assinar uma transação que lhes dava acesso a todos os tokens Uniswap LP mantidos pelo usuário. A mensagem de phishing, de fato, autorizou o contrato inteligente subjacente a transferir as atividades da carteira do usuário e obter controle total.
Dados de blockchain
De acordo com dados da Etherscan, mais de 74.000 carteiras interagiram com o contrato inteligente do golpe de phishing até agora.
Uma pessoa, que estava fornecendo mais de US $ 8 milhões em moedas embrulhadas de Bitcoin (WBTC) e USD (citação USDC) para um pool de liquidez WBTC / USDC, sem saber, interagiu com o golpe de phishing. O atacante então ganhou o controle do portfólio, saiu das posições de LP e retirou toda a liquidez da Uniswap.
Os dados da blockchain também mostram que o invasor começou a movimentar fundos roubados através do protocolo de privacidade Tornado Cash na terça-feira.
