Пользователь Uniswap потерял более 8 миллионов долларов в Ethereum (ETH) после того, как злоумышленник использовал злонамеренный контракт на раздачу, чтобы атаковать поставщиков ликвидности (LP) проекта.
Мошеннический аирдроп предлагал 400 бесплатных токенов UNI на сумму около 2.000 долларов. Пользователей попросили связать свои криптовалютные кошельки, чтобы запросить средства. Однако благодаря изощренной фишинговой кампании злоумышленникам удалось украсть более 7.500 ETH.
Протокол Uniswap v3
По словам исследователя безопасности MetaMask Гарри Денли, вредоносный токен, замаскированный под токен раздачи, был отправлен примерно на 73.399 XNUMX адресов кошельков, связанных с Uniswap.
Вредоносный код смарт-контракта, развернутый на Etherscan, не был проверен, как это обычно делают законные проекты. Информация, содержащаяся в смарт-контракте, затем привела к веб-сайту, позволяющему пользователям обменивать свои новые токены с Uniswap стоимостью 5,34 доллара США каждый.
В сообщении утверждалось, что токены UNI распределяются между поставщиками ликвидности в зависимости от количества полученных фальшивых токенов LP.
Вредоносный токен UniswapLP, по-видимому, был получен из законного контракта «Uniswap V3: Positions NFT» путем манипулирования полем «От» в обозревателе транзакций блокчейна.
Поставщик ликвидности — это тот, кто поставляет свои криптоактивы на платформу, чтобы помочь децентрализовать торговлю. В свою очередь, он вознаграждается комиссионными, генерируемыми транзакциями на платформе, что можно считать формой пассивного дохода.
После распространения хакер обманом заставил пользователей подписать транзакцию, которая дала им доступ ко всем токенам Uniswap LP, которыми владел пользователь. Фишинговое сообщение фактически разрешало базовому смарт-контракту передавать действия из кошелька пользователя и получать полный контроль.
Данные блокчейна
Согласно данным Etherscan, более 74.000 XNUMX кошельков взаимодействовали со смарт-контрактом фишинговой аферы.
Один человек, предоставивший биткойн (WBTC) и монеты в долларах США на сумму более 8 миллионов долларов (цитата USDC) в пул ликвидности WBTC/USDC, неосознанно взаимодействовавший с фишинговой аферой. Затем злоумышленник получил контроль над портфелем, закрыл позиции LP и вывел всю ликвидность из Uniswap.
Данные из блокчейна также показывают, что во вторник злоумышленник начал переводить украденные средства через протокол конфиденциальности Tornado Cash.
