Usuario de Uniswap pierde 8 millones de dólares en Ether en un ataque de phishing

Un usuario de Uniswap perdió más de 8 millones de dólares en ether (ETH) el martes en un ataque de phishing en el que el atacante implementó un cebo de lanzamiento aéreo para engañar a los usuarios, dijeron investigadores de seguridad.

Según los tuits El lunes por la noche, el investigador de seguridad de MetaMask “harry. ETH ” envió un token malicioso disfrazado de airdrop de tokens Uniswap (UNI ) a unas 73,399 direcciones de billetera conectadas a Uniswap , basándose en sus posiciones de fondo de liquidez en la versión 3 de Uniswap .

La información del contrato inteligente malicioso condujo a un sitio web que imitaba la marca de dominio Uniswap .

El mensaje afirmaba distribuir tokens UNI a proveedores de liquidez (LP) basándose en la cantidad de tokens LP falsos recibidos. Los proveedores de liquidez ofrecen sus activos en Uniswap a cambio de recompensas.

Sin embargo, al interactuar con el mensaje de phishing, se le dio al contrato inteligente subyacente permiso para transferir activos y obtener control total de la billetera de un usuario.

Una persona, que estaba proporcionando más de 8 millones de dólares en Wrapped Bitcoin (WBTC) y USD Coin (USDC) a un fondo de liquidez WBTC/ USDC , según datos de blockchain, sin saberlo, interactuó con el mensaje de phishing.

El atacante pudo obtener el control de la billetera, salir de las posiciones de LP y transferir los tokens a otras billeteras.Datos de blockchain Además, se muestra que el atacante comenzó a mover fondos robados a través del protocolo de Privacidad Tornado Cash en las primeras horas de Asia del martes.

En las horas posteriores al ataque, el fundador de Binance, Changpeng Zhao, alertó a los usuarios sobre un posible exploit en Uniswap. Sin embargo, esto se corrigió posteriormente, ya que el exploit se limitó a un mensaje de phishing y no afectó al protocolo Uniswap , según Hayden Adams, director ejecutivo de Uniswap Labs. confirmado en tuits separados.