Isang user ng Uniswap ang nawalan ng mahigit $8 milyon sa Ethereum (ETH) matapos gumamit ang isang attacker ng malisyosong kontrata ng airdrop para i-target ang mga liquidity provider (LP) ng proyekto.
Ang mapanlinlang na airdrop ay nag-alok ng 400 libreng UNI token na nagkakahalaga ng humigit-kumulang $2.000. Hiniling sa mga user na i-link ang kanilang mga wallet ng cryptocurrency para humiling ng mga pondo. Gayunpaman, salamat sa sopistikadong kampanya sa phishing, nagawa ng mga umaatake na magnakaw ng mahigit 7.500 ETH.
Uniswap v3 protocol
Ayon sa MetaMask security researcher na si Harry Denley, isang malisyosong token na itinago bilang isang airdrop token ay ipinadala sa humigit-kumulang 73.399 wallet address na naka-link sa Uniswap.
Ang malisyosong smart contract code na naka-deploy sa Etherscan ay hindi pa nabe-verify, na karaniwang ginagawa ng mga lehitimong proyekto. Ang impormasyong nakapaloob sa matalinong kontrata ay humantong sa isang website na naglalayong payagan ang mga user na palitan ang kanilang mga bagong token sa Uniswap, na nagkakahalaga ng $5,34 bawat isa.
Ang mensahe ay nag-claim na namamahagi ng mga token ng UNI sa mga tagapagbigay ng pagkatubig batay sa bilang ng mga pekeng LP token na natanggap.
Ang malisyosong UniswapLP token ay lumilitaw na nagmula sa isang lehitimong kontrata ng “Uniswap V3: Positions NFT” sa pamamagitan ng pagmamanipula sa field na “Mula sa” sa transaction explorer ng blockchain.
Ang liquidity provider ay isa na nagsusuplay ng kanilang mga crypto asset sa isang platform para tumulong sa desentralisadong pangangalakal. Bilang kapalit, ito ay ginagantimpalaan ng mga komisyon na nabuo ng mga transaksyon sa platform, na maaaring ituring na isang anyo ng passive income.
Pagkatapos ng pamamahagi, nilinlang ng hacker ang mga user na pumirma sa isang transaksyon na nagbigay sa kanila ng access sa lahat ng Uniswap LP token na hawak ng user. Ang mensahe ng phishing, sa katunayan, ay nagpahintulot sa pinagbabatayan ng matalinong kontrata na maglipat ng mga aktibidad mula sa wallet ng user at makakuha ng ganap na kontrol.
Data ng Blockchain
Ayon sa data mula sa Etherscan, higit sa 74.000 wallet ang nakipag-ugnayan sa smart contract ng phishing scam sa ngayon.
Isang tao, na nagbibigay ng mahigit $8 milyon na halaga ng nakabalot na Bitcoin (WBTC) at USD na mga barya (sipi USDC) sa isang WBTC / USDC liquidity pool, nang hindi nalalamang nakipag-ugnayan sa phishing scam. Pagkatapos ay nakuha ng attacker ang kontrol sa portfolio, lumabas sa mga posisyon ng LP at inalis ang lahat ng liquidity mula sa Uniswap.
Ipinapakita rin ng data mula sa blockchain na nagsimulang ilipat ng attacker ang mga ninakaw na pondo sa pamamagitan ng Tornado Cash privacy protocol noong Martes.
