ผู้ใช้ Uniswap สูญเสียมากกว่า 8 ล้านดอลลาร์ใน Ethereum (ETH) หลังจากที่ผู้โจมตีใช้สัญญา airdrop ที่เป็นอันตรายเพื่อกำหนดเป้าหมายผู้ให้บริการสภาพคล่อง (LPs) ของโครงการ
การหลอกลวงทางอากาศมอบโทเค็น UNI ฟรี 400 โทเค็นมูลค่าประมาณ 2.000 ดอลลาร์ ผู้ใช้ถูกขอให้เชื่อมโยงกระเป๋าเงินดิจิตอลเพื่อขอเงิน อย่างไรก็ตาม ต้องขอบคุณแคมเปญฟิชชิ่งที่ซับซ้อน ผู้โจมตีจึงสามารถขโมยข้อมูลได้มากกว่า 7.500 ETH
โปรโตคอล Uniswap v3
ตามที่นักวิจัยด้านความปลอดภัยของ MetaMask Harry Denley โทเค็นที่เป็นอันตรายซึ่งปลอมแปลงเป็นโทเค็น airdrop ถูกส่งไปยังที่อยู่กระเป๋าเงินประมาณ 73.399 ที่เชื่อมโยงกับ Uniswap
รหัสสัญญาอัจฉริยะที่เป็นอันตรายที่ปรับใช้บน Etherscan ยังไม่ได้รับการยืนยัน ซึ่งโครงการที่ถูกกฎหมายมักจะทำ ข้อมูลในสัญญาอัจฉริยะนำไปสู่เว็บไซต์ที่อ้างว่าอนุญาตให้ผู้ใช้แลกเปลี่ยนโทเค็นใหม่กับ Uniswap มูลค่า 5,34 ดอลลาร์ต่ออัน
ข้อความอ้างว่าแจกจ่ายโทเค็น UNI ไปยังผู้ให้บริการสภาพคล่องตามจำนวนโทเค็น LP ปลอมที่ได้รับ
โทเค็น UniswapLP ที่เป็นอันตรายดูเหมือนจะมาจากสัญญา "Uniswap V3: Positions NFT" ที่ถูกต้องตามกฎหมาย โดยจัดการฟิลด์ "จาก" ในตัวสำรวจธุรกรรมของบล็อคเชน
ผู้ให้บริการสภาพคล่องคือผู้จัดหาสินทรัพย์ crypto ของตนไปยังแพลตฟอร์มเพื่อช่วยกระจายอำนาจการซื้อขาย ในทางกลับกัน จะได้รับรางวัลเป็นค่าคอมมิชชั่นที่เกิดจากการทำธุรกรรมบนแพลตฟอร์ม ซึ่งถือได้ว่าเป็นรูปแบบของรายได้แบบพาสซีฟ
หลังจากการแจกจ่าย แฮ็กเกอร์หลอกให้ผู้ใช้ลงนามในธุรกรรมที่อนุญาตให้เข้าถึงโทเค็น Uniswap LP ทั้งหมดที่ถือโดยผู้ใช้ อันที่จริงข้อความฟิชชิ่งอนุญาตให้สัญญาอัจฉริยะพื้นฐานเพื่อโอนกิจกรรมจากกระเป๋าเงินของผู้ใช้และเข้าควบคุมอย่างสมบูรณ์
ข้อมูลบล็อคเชน
ตามข้อมูลจาก Etherscan กระเป๋าเงินมากกว่า 74.000 แห่งได้โต้ตอบกับสัญญาอัจฉริยะของการหลอกลวงแบบฟิชชิ่งจนถึงขณะนี้
บุคคลหนึ่งที่มอบ Bitcoin (WBTC) และเหรียญ USD มูลค่ากว่า 8 ล้านเหรียญสหรัฐ (การอ้าง USDC) ไปยังกลุ่มสภาพคล่องของ WBTC / USDC ซึ่งโต้ตอบกับกลโกงฟิชชิ่งโดยไม่รู้ตัว จากนั้นผู้โจมตีก็เข้าควบคุมพอร์ตโฟลิโอ ออกจากตำแหน่ง LP และถอนสภาพคล่องทั้งหมดออกจาก Uniswap
ข้อมูลจากบล็อคเชนยังแสดงให้เห็นว่าผู้โจมตีเริ่มเคลื่อนย้ายเงินที่ถูกขโมยผ่านโปรโตคอลความเป็นส่วนตัวของ Tornado Cash ในวันอังคาร