Ein Uniswap-Benutzer verlor Ethereum (ETH) im Wert von über 8 Millionen US-Dollar, nachdem ein Angreifer einen böswilligen Airdrop-Vertrag verwendet hatte, um die Liquiditätsanbieter (LPs) des Projekts anzugreifen.
Der betrügerische Airdrop bot 400 kostenlose UNI-Token im Wert von etwa 2.000 US-Dollar. Die Benutzer wurden gebeten, ihre Kryptowährungs-Wallets zu verknüpfen, um die Gelder anzufordern. Dank der ausgeklügelten Phishing-Kampagne gelang es den Angreifern jedoch, über 7.500 ETH zu stehlen.
Uniswap v3-Protokoll
Laut dem MetaMask-Sicherheitsforscher Harry Denley wurde ein als Airdrop-Token getarnter bösartiger Token an etwa 73.399 mit Uniswap verknüpfte Wallet-Adressen gesendet.
Der auf Etherscan bereitgestellte bösartige Smart-Contract-Code wurde nicht verifiziert, was bei legitimen Projekten normalerweise der Fall ist. Die im Smart Contract enthaltenen Informationen führten dann zu einer Website, die es Benutzern angeblich ermöglichte, ihre neuen Token mit Uniswap im Wert von jeweils 5,34 US-Dollar auszutauschen.
Die Nachricht behauptete, UNI-Token an Liquiditätsanbieter basierend auf der Anzahl der erhaltenen gefälschten LP-Token zu verteilen.
Das bösartige UniswapLP-Token schien aus einem legitimen „Uniswap V3: Positions NFT“-Vertrag zu stammen, indem das „Von“-Feld im Transaktions-Explorer der Blockchain manipuliert wurde.
Ein Liquiditätsanbieter ist jemand, der seine Krypto-Assets an eine Plattform liefert, um den Handel zu dezentralisieren. Im Gegenzug wird es mit den Provisionen belohnt, die durch Transaktionen auf der Plattform generiert werden, was als eine Form des passiven Einkommens angesehen werden kann.
Nach der Verteilung brachte der Hacker Benutzer dazu, eine Transaktion zu signieren, die ihnen Zugriff auf alle Uniswap-LP-Token im Besitz des Benutzers verschaffte. Die Phishing-Nachricht autorisierte tatsächlich den zugrunde liegenden Smart Contract, die Aktivitäten aus der Brieftasche des Benutzers zu übertragen und die volle Kontrolle zu erlangen.
Blockchain-Daten
Nach Angaben von Etherscan haben bisher mehr als 74.000 Wallets mit dem Smart Contract des Phishing-Betrugs interagiert.
Eine Person, die verpackte Bitcoin (WBTC)- und USD-Münzen im Wert von über 8 Millionen US-Dollar zur Verfügung stellte (Preis USDC) an einen WBTC/USDC-Liquiditätspool, unwissentlich mit dem Phishing-Betrug interagiert. Der Angreifer erlangte dann die Kontrolle über das Portfolio, stieg aus den LP-Positionen aus und zog die gesamte Liquidität von Uniswap ab.
Daten aus der Blockchain zeigen auch, dass der Angreifer am Dienstag damit begann, gestohlene Gelder durch das Datenschutzprotokoll von Tornado Cash zu bewegen.
