Користувач Uniswap втратив ефір на 8 мільйонів доларів через фішингову атаку

Користувач Uniswap втратив ефір ETH$2 087,37 на суму понад 8 мільйонів доларів США у вівторок під час фішингової атаки, під час якої зловмисник використовував приманку, щоб обдурити користувачів, повідомили дослідники безпеки.

Згідно з твітами За даними дослідника безпеки MetaMask «harry.eth », у понеділок увечері приблизно на 73 399 адрес гаманців, підключених до Uniswap, було надіслано шкідливий токен, який маскувався під токен Uniswap UNI$3,4686, на основі позицій пулу ліквідності на Uniswap версії 3.

Інформація в шкідливому смарт-контракті призвела до веб-сайту, який імітував брендинг домену Uniswap .

У повідомленні стверджувалося, що токени UNI передаються постачальникам ліквідності (LP) на основі кількості підроблених токенів LP, які вони отримали. Постачальники ліквідності надають свої активи на Uniswap в обмін на винагороду.

Однак взаємодія з фішинговим повідомленням дала базовому смарт-контракту дозвіл на передачу активів із гаманця користувача та отримання повного контролю над ним.

ONE особа, яка надала Wrapped Bitcoin (WBTC) і USD Coin (USDC) на суму понад 8 мільйонів доларів США до пулу ліквідності WBTC/ USDC , згідно з даними. дані блокчейну, несвідомо взаємодіяв із фішинговим повідомленням.

Зловмисник зміг отримати контроль над гаманцем, вийти з позицій LP і перенести токени на інші гаманці. Дані блокчейну Далі показано, що зловмисник почав переміщувати викрадені кошти через протокол Політика конфіденційності Tornado Cash у перші години вівторка в Азії.

Через кілька годин після атаки засновник Binance Чанпен Чжао попередив користувачів про можливий експлойт на Uniswap. Однак пізніше це було виправлено, оскільки експлойт був обмежений фішинговим повідомленням і не впливав на протокол Uniswap , як заявив генеральний директор Uniswap Labs Гейден Адамс підтверджено в окремих твітах.