Používateľ Uniswapu prišiel o Ethereum (ETH) v hodnote viac ako 8 miliónov dolárov po tom, čo útočník použil zlomyseľnú zmluvu o airdrop, aby sa zameral na poskytovateľov likvidity projektu (LP).
Podvodný výsadok ponúkol 400 bezplatných UNI tokenov v hodnote približne 2.000 7.500 USD. Používatelia boli požiadaní, aby prepojili svoje kryptomenové peňaženky a požiadali o finančné prostriedky. Vďaka prepracovanej phishingovej kampani sa však útočníkom podarilo ukradnúť cez XNUMX XNUMX ETH.
Uniswap v3 protokol
Podľa bezpečnostného výskumníka MetaMask Harryho Denleyho bol škodlivý token maskovaný ako airdrop token odoslaný na približne 73.399 XNUMX adries peňaženiek prepojených s Uniswap.
Škodlivý kód inteligentnej zmluvy nasadený na Etherscan nebol overený, čo legitímne projekty zvyčajne robia. Informácie obsiahnuté v inteligentnej zmluve potom viedli k webovej stránke, ktorá mala používateľom umožniť vymieňať si svoje nové tokeny s Uniswapom, každý v hodnote 5,34 USD.
Správa tvrdila, že distribuuje UNI tokeny poskytovateľom likvidity na základe počtu prijatých falošných LP tokenov.
Zdá sa, že škodlivý token UniswapLP pochádza z legitímnej zmluvy „Uniswap V3: Positions NFT“ manipuláciou s poľom „Od“ v prieskumníkovi transakcií blockchainu.
Poskytovateľ likvidity je ten, kto dodáva svoje krypto aktíva na platformu, ktorá pomáha decentralizovať obchodovanie. Na oplátku je odmeňovaný províziami generovanými transakciami na platforme, čo možno považovať za formu pasívneho príjmu.
Po distribúcii hacker oklamal používateľov, aby podpísali transakciu, ktorá im poskytla prístup ku všetkým tokenom Uniswap LP v držbe používateľa. Phishingová správa v skutočnosti autorizovala základnú inteligentnú zmluvu na prenos aktivít z peňaženky používateľa a získanie plnej kontroly.
Údaje blockchainu
Podľa údajov z Etherscanu viac ako 74.000 XNUMX peňaženiek doteraz interagovalo s inteligentným kontraktom phishingového podvodu.
Jedna osoba, ktorá poskytla zabalené bitcoiny (WBTC) a USD v hodnote viac ako 8 miliónov dolárov (citát USDC) do fondu likvidity WBTC / USDC, ktorý nevedomky interagoval s phishingovým podvodom. Útočník potom získal kontrolu nad portfóliom, opustil LP pozície a stiahol všetku likviditu z Uniswapu.
Údaje z blockchainu tiež ukazujú, že útočník začal v utorok presúvať ukradnuté prostriedky prostredníctvom protokolu Tornado Cash na ochranu osobných údajov.
