En Uniswap-användare förlorade över 8 miljoner USD i Ethereum (ETH) efter att en angripare använde ett skadligt airdrop-kontrakt för att rikta in sig på projektets likviditetsleverantörer (LPs).
Den bedrägliga airdroppen erbjöd 400 gratis UNI-tokens värda cirka $2.000 7.500. Användare ombads att ansluta sina kryptovaluta plånböcker för att begära pengar. Men tack vare den sofistikerade nätfiskekampanjen lyckades angriparna stjäla över XNUMX XNUMX ETH.
Uniswap-protokoll v3
Enligt MetaMasks säkerhetsforskare Harry Denley skickades cirka 73.399 XNUMX Uniswap-länkade plånboksadresser till en skadlig token som maskerades som en airdrop-token.
Den skadliga smarta kontraktskoden som distribueras på Etherscan har inte verifierats, vilket legitima projekt vanligtvis gör. Informationen i det smarta kontraktet ledde sedan till en webbplats som påstods tillåta användare att byta ut sina nya tokens mot Uniswap, värda $5,34 vardera.
Meddelandet gjorde anspråk på att distribuera UNI-tokens till likviditetsleverantörer baserat på antalet mottagna falska LP-tokens.
Den skadliga UniswapLP-tokenen verkade komma från ett legitimt kontrakt "Uniswap V3: Positions NFT" genom att manipulera fältet "Från" i transaktionsutforskaren i blockkedjan.
En likviditetsleverantör är en som tillhandahåller sina kryptotillgångar till en plattform för att hjälpa till att decentralisera handeln. I gengäld belönas han med provisioner som genereras av transaktioner på plattformen, vilket kan betraktas som en form av passiv inkomst.
Efter distributionen lurade hackaren användare att underteckna en transaktion som gav honom tillgång till alla Uniswap LP-tokens som innehas av användaren. Faktum är att nätfiskemeddelandet godkände det underliggande smarta kontraktet att överföra tillgångarna från användarens plånbok och få full kontroll över den.
Blockchain-data
Mer än 74.000 XNUMX plånböcker har interagerat med nätfiske-smarta kontraktet hittills, enligt Etherscan-data.
En person, som tillhandahöll över 8 miljoner dollar i inslagna Bitcoin (WBTC) och USD-mynt (offert USDC) till en WBTC/USDC-likviditetspool, omedvetet interagerat med nätfiske-bluffen. Angriparen fick sedan kontroll över plånboken, lämnade LP-positionerna och drog ut alla kontanter från Uniswap.
Blockchain-data visar också att angriparen började flytta de stulna medlen genom Tornado Cash-integritetsprotokollet på tisdagen.
