Користувач Uniswap втратив ефір на 8 мільйонів доларів через фішингову атаку

Користувач Uniswap втратив ефір (ETH) на суму понад 8 мільйонів доларів США у вівторок під час фішингової атаки, під час якої зловмисник використовував приманку, щоб обдурити користувачів, повідомили дослідники безпеки.

Згідно з твітами За даними дослідника безпеки MetaMask «harry.eth », у понеділок увечері приблизно на 73 399 адрес гаманців, підключених до Uniswap, було надіслано шкідливий токен, який маскувався під токен Uniswap (UNI), на основі позицій пулу ліквідності на Uniswap версії 3.

Інформація в шкідливому смарт-контракті призвела до веб-сайту, який імітував брендинг домену Uniswap .

У повідомленні стверджувалося, що токени UNI передаються постачальникам ліквідності (LP) на основі кількості підроблених токенів LP, які вони отримали. Постачальники ліквідності надають свої активи на Uniswap в обмін на винагороду.

Однак взаємодія з фішинговим повідомленням дала базовому смарт-контракту дозвіл на передачу активів із гаманця користувача та отримання повного контролю над ним.

ONE особа, яка надала Wrapped Bitcoin (WBTC) і USD Coin (USDC) на суму понад 8 мільйонів доларів США до пулу ліквідності WBTC/ USDC , згідно з даними. дані блокчейну, несвідомо взаємодіяв із фішинговим повідомленням.

Зловмисник зміг отримати контроль над гаманцем, вийти з позицій LP і перенести токени на інші гаманці. Дані блокчейну Далі показано, що зловмисник почав переміщувати викрадені кошти через протокол Політика конфіденційності Tornado Cash у перші години вівторка в Азії.

Через кілька годин після атаки засновник Binance Чанпен Чжао попередив користувачів про можливий експлойт на Uniswap. Однак пізніше це було виправлено, оскільки експлойт був обмежений фішинговим повідомленням і не впливав на протокол Uniswap , як заявив генеральний директор Uniswap Labs Гейден Адамс підтверджено в окремих твітах.