Bir Uniswap kullanıcısı, bir saldırganın projenin likidite sağlayıcılarını (LP'ler) hedef almak için kötü niyetli bir airdrop sözleşmesi kullanmasının ardından Ethereum'da (ETH) 8 milyon dolardan fazla kaybetti.
Hileli airdrop, yaklaşık 400 $ değerinde 2.000 ücretsiz UNI jetonu teklif etti. Kullanıcılardan fon talep etmek için kripto para cüzdanlarını bağlamaları istendi. Ancak, gelişmiş kimlik avı kampanyası sayesinde saldırganlar 7.500'den fazla ETH çalmayı başardı.
Uniswap v3 protokolü
MetaMask güvenlik araştırmacısı Harry Denley'e göre, bir airdrop jetonu olarak gizlenen kötü niyetli bir jeton, Uniswap ile bağlantılı yaklaşık 73.399 cüzdan adresine gönderildi.
Etherscan'da dağıtılan kötü niyetli akıllı sözleşme kodu, meşru projelerin genellikle yaptığı gibi doğrulanmadı. Akıllı sözleşmede yer alan bilgiler daha sonra kullanıcıların yeni jetonlarını Uniswap ile her biri 5,34 dolar değerinde takas etmelerine izin veren bir web sitesine yol açtı.
Mesaj, alınan sahte LP jetonlarının sayısına göre UNI jetonlarını likidite sağlayıcılarına dağıttığını iddia etti.
Kötü niyetli UniswapLP belirteci, blok zincirinin işlem gezginindeki "Kimden" alanını manipüle ederek meşru bir "Uniswap V3: Pozisyonlar NFT" sözleşmesinden geliyor gibi görünüyordu.
Bir likidite sağlayıcısı, kripto varlıklarını ticaretin merkezsizleştirilmesine yardımcı olmak için bir platforma sağlayan kişidir. Buna karşılık, bir tür pasif gelir olarak değerlendirilebilecek platformda yapılan işlemlerden elde edilen komisyonlarla ödüllendirilir.
Dağıtımdan sonra bilgisayar korsanı, kullanıcıları, kullanıcı tarafından tutulan tüm Uniswap LP jetonlarına erişim sağlayan bir işlemi imzalamaları için kandırdı. Kimlik avı mesajı, aslında, kullanıcının cüzdanından etkinlikleri aktarmak ve tam kontrol elde etmek için temel akıllı sözleşmeye yetki verdi.
blok zinciri verileri
Etherscan verilerine göre, şu ana kadar 74.000'den fazla cüzdan kimlik avı dolandırıcılığının akıllı sözleşmesiyle etkileşime girdi.
8 milyon doların üzerinde sarılı Bitcoin (WBTC) ve USD madeni para sağlayan bir kişi (alıntı USDC), bir WBTC / USDC likidite havuzuna, bilmeden kimlik avı dolandırıcılığı ile etkileşime girdi. Saldırgan daha sonra portföyün kontrolünü ele geçirdi, LP pozisyonlarından çıktı ve Uniswap'tan tüm likiditeyi geri çekti.
Blok zincirinden elde edilen veriler, saldırganın Salı günü Tornado Cash gizlilik protokolü aracılığıyla çalınan fonları taşımaya başladığını da gösteriyor.
