Un utilizator Uniswap a pierdut Ethereum (ETH) în valoare de peste 8 milioane de dolari, după ce un atacator a folosit un contract de airdrop rău intenționat pentru a viza furnizorii de lichidități (LP) ai proiectului.
Airdrop-ul fraudulos a oferit 400 de jetoane UNI gratuite în valoare de aproximativ 2.000 USD. Utilizatorilor li s-a cerut să își conecteze portofelele cu criptomonede pentru a solicita fondurile. Cu toate acestea, datorită campaniei sofisticate de phishing, atacatorii au reușit să fure peste 7.500 de ETH.
Protocolul Uniswap v3
Potrivit cercetătorului de securitate MetaMask Harry Denley, un token rău intenționat deghizat în jeton de lansare aeriană a fost trimis la aproximativ 73.399 de adrese de portofel legate de Uniswap.
Codul de contract inteligent rău intenționat implementat pe Etherscan nu a fost verificat, ceea ce fac de obicei proiectele legitime. Informațiile conținute în contractul inteligent au condus apoi la un site web care pretinde să permită utilizatorilor să-și schimbe noile jetoane cu Uniswap, în valoare de 5,34 USD fiecare.
Mesajul susținea că distribuie jetoane UNI furnizorilor de lichidități pe baza numărului de jetoane LP false primite.
Tokenul rău intenționat UniswapLP părea să provină dintr-un contract legitim „Uniswap V3: Positions NFT” prin manipularea câmpului „De la” din exploratorul de tranzacții al blockchain-ului.
Un furnizor de lichidități este cel care își furnizează activele cripto pe o platformă pentru a ajuta la descentralizarea tranzacționării. În schimb, este recompensat cu comisioanele generate de tranzacțiile de pe platformă, care pot fi considerate o formă de venit pasiv.
După distribuire, hackerul a păcălit utilizatorii să semneze o tranzacție care le-a dat acces la toate jetoanele Uniswap LP deținute de utilizator. Mesajul de phishing, de fapt, a autorizat contractul inteligent subiacent să transfere activitățile din portofelul utilizatorului și să obțină controlul deplin.
Date blockchain
Potrivit datelor de la Etherscan, peste 74.000 de portofele au interacționat până acum cu contractul inteligent al escrocheriei de phishing.
O persoană, care a furnizat monede Bitcoin (WBTC) și USD în valoare de peste 8 milioane de dolari (citat USDC) către un pool de lichidități WBTC / USDC, a interacționat fără să știe cu escrocheria de tip phishing. Atacatorul a câștigat apoi controlul asupra portofoliului, a părăsit pozițiile LP și a retras toată lichiditatea de la Uniswap.
Datele din blockchain arată, de asemenea, că atacatorul a început marți să mute fonduri furate prin protocolul de confidențialitate Tornado Cash.
