Uporabnik Uniswap je izgubil več kot 8 milijonov dolarjev v Ethereumu (ETH), potem ko je napadalec uporabil zlonamerno airdrop pogodbo za ciljanje na ponudnike likvidnosti projekta (LP).
Goljufivi airdrop je ponudil 400 brezplačnih žetonov UNI v vrednosti približno 2.000 USD. Uporabnike so prosili, da povežejo svoje denarnice za kriptovalute, da zahtevajo sredstva. Vendar pa je zahvaljujoč prefinjeni kampanji lažnega predstavljanja napadalcem uspelo ukrasti več kot 7.500 ETH.
Protokol Uniswap v3
Po besedah varnostnega raziskovalca MetaMask Harryja Denleyja je bil zlonamerni žeton, prikrit kot žeton airdrop, poslan na približno 73.399 naslovov denarnic, povezanih z Uniswap.
Zlonamerna koda pametne pogodbe, nameščena na Etherscan, ni bila preverjena, kar običajno počnejo zakoniti projekti. Podatki v pametni pogodbi so nato pripeljali do spletnega mesta, ki naj bi uporabnikom omogočilo zamenjavo svojih novih žetonov z Uniswap, v vrednosti 5,34 $ vsak.
Sporočilo je trdilo, da se žetoni UNI razdelijo ponudnikom likvidnosti na podlagi števila prejetih lažnih žetonov LP.
Zdelo se je, da zlonamerni žeton UniswapLP izvira iz legitimne pogodbe »Uniswap V3: Positions NFT« z manipulacijo polja »Od« v raziskovalcu transakcij verige blokov.
Ponudnik likvidnosti je tisti, ki svoja kripto sredstva dobavlja platformi za pomoč pri decentralizaciji trgovanja. V zameno je nagrajen s provizijami, ustvarjenimi s transakcijami na platformi, kar lahko štejemo za obliko pasivnega dohodka.
Po distribuciji je heker uporabnike preslepil, da so podpisali transakcijo, ki jim je omogočila dostop do vseh žetonov Uniswap LP, ki jih ima uporabnik. Sporočilo z lažnim predstavljanjem je dejansko pooblastilo osnovno pametno pogodbo za prenos dejavnosti iz uporabnikove denarnice in pridobitev popolnega nadzora.
Podatki verige blokov
Po podatkih Etherscan je do zdaj več kot 74.000 denarnic sodelovalo s pametno pogodbo lažnega predstavljanja.
Ena oseba, ki je zagotovila zavite kovance Bitcoin (WBTC) in USD v vrednosti več kot 8 milijonov dolarjev (citat USDC) v sklad likvidnosti WBTC / USDC, nevede sodeloval pri prevari z lažnim predstavljanjem. Napadalec je nato pridobil nadzor nad portfeljem, zapustil pozicije LP in umaknil vso likvidnost iz Uniswapa.
Podatki iz blockchaina tudi kažejo, da je napadalec v torek začel premikati ukradena sredstva prek protokola zasebnosti Tornado Cash.
