Usuário Uniswap perde US$ 8 milhões em Ether em ataque de phishing

Um usuário do Uniswap perdeu mais de US$ 8 milhões em ether (ETH) na terça-feira em um ataque de phishing no qual o invasor implantou uma isca de airdrop para enganar os usuários, disseram pesquisadores de segurança.

De acordo com tweets pelo pesquisador de segurança da MetaMask “harry. ETH” na noite de segunda-feira, cerca de 73.399 endereços de carteira conectados ao Uniswap receberam um token malicioso disfarçado de airdrop de token Uniswap (UNI) com base em suas posições de pool de liquidez no Uniswap versão 3.

As informações no contrato inteligente malicioso levaram a um site que imitava a marca de domínio Uniswap .

A mensagem alegava lançar tokens UNI para provedores de liquidez (LP) com base no número de tokens LP falsos que eles recebiam. Os provedores de liquidez fornecem seus ativos no Uniswap em troca de recompensas.

A interação com a mensagem de phishing, no entanto, deu ao contrato inteligente subjacente permissão para transferir ativos e obter controle total da carteira do usuário.

Uma pessoa, que estava fornecendo mais de US$ 8 milhões em Wrapped Bitcoin (WBTC) e USD Coin (USDC) para um pool de liquidez WBTC/ USDC , de acordo com dados de blockchain, interagiu sem saber com a mensagem de phishing.

O invasor conseguiu obter o controle da carteira, sair das posições do LP e transferir os tokens para outras carteiras.Dados de blockchain mostra ainda que o invasor começou a movimentar fundos roubados por meio do protocolo de Política de Privacidade Tornado Cash nas primeiras horas da manhã na Ásia na terça-feira.

Nas horas seguintes ao ataque, o fundador da Binance, Changpeng Zhao, alertou os usuários para estarem cientes de uma possível exploração no Uniswap. No entanto, isso foi corrigido mais tarde, pois a exploração foi limitada a uma mensagem de phishing e não afetou o protocolo Uniswap , como o CEO da Uniswap Labs, Hayden Adams confirmado em tweets separados.