Một người dùng Uniswap đã mất hơn 8 triệu đô la Ethereum (ETH) sau khi kẻ tấn công sử dụng một hợp đồng airdrop độc hại để nhắm mục tiêu vào các nhà cung cấp thanh khoản (LP) của dự án.
Airdrop gian lận đã cung cấp 400 mã thông báo UNI miễn phí trị giá khoảng 2.000 đô la. Người dùng được yêu cầu liên kết ví tiền điện tử của họ để yêu cầu tiền. Tuy nhiên, nhờ vào chiến dịch lừa đảo tinh vi, những kẻ tấn công đã đánh cắp được hơn 7.500 ETH.
Giao thức Uniswap v3
Theo nhà nghiên cứu bảo mật Harry Denley của MetaMask, một mã thông báo độc hại được ngụy trang dưới dạng mã thông báo airdrop đã được gửi đến khoảng 73.399 địa chỉ ví được liên kết với Uniswap.
Mã hợp đồng thông minh độc hại được triển khai trên Etherscan chưa được xác minh, điều mà các dự án hợp pháp thường làm. Thông tin có trong hợp đồng thông minh sau đó dẫn đến một trang web có mục đích cho phép người dùng trao đổi các mã thông báo mới của họ với Uniswap, trị giá 5,34 đô la mỗi mã.
Thông báo tuyên bố phân phối mã thông báo UNI cho các nhà cung cấp thanh khoản dựa trên số lượng mã thông báo LP giả nhận được.
Mã thông báo UniswapLP độc hại dường như đến từ hợp đồng “Uniswap V3: Positions NFT” hợp pháp bằng cách thao tác trường “Từ” trong trình khám phá giao dịch của blockchain.
Nhà cung cấp thanh khoản là người cung cấp tài sản tiền điện tử của họ cho một nền tảng để giúp phân cấp giao dịch. Đổi lại, nó được thưởng bằng hoa hồng tạo ra từ các giao dịch trên nền tảng, đây có thể được coi là một hình thức thu nhập thụ động.
Sau khi phân phối, tin tặc đã lừa người dùng ký một giao dịch cho phép họ truy cập vào tất cả các mã thông báo Uniswap LP do người dùng nắm giữ. Trên thực tế, tin nhắn lừa đảo đã cho phép hợp đồng thông minh cơ bản chuyển các hoạt động từ ví của người dùng và giành toàn quyền kiểm soát.
Dữ liệu chuỗi khối
Theo dữ liệu từ Etherscan, hơn 74.000 ví đã tương tác với hợp đồng thông minh của kẻ lừa đảo lừa đảo cho đến nay.
Một người, người đang cung cấp số Bitcoin được bọc (WBTC) và tiền USD trị giá hơn 8 triệu đô la (báo giá USDC) vào nhóm thanh khoản WBTC / USDC, đã vô tình tương tác với lừa đảo lừa đảo. Sau đó, kẻ tấn công đã giành được quyền kiểm soát danh mục đầu tư, thoát khỏi các vị trí LP và rút toàn bộ thanh khoản khỏi Uniswap.
Dữ liệu từ blockchain cũng cho thấy kẻ tấn công đã bắt đầu chuyển các khoản tiền bị đánh cắp thông qua giao thức bảo mật Tornado Cash vào thứ Ba.
