Мошенники с помощью фишинга похитили $ 8 миллионов из кошелька, который, как считается, поставлял ликвидность для биржи Uniswap. Хакеры использовали вредоносный смарт-контракт. Стоит ли беспокоиться об уязвимости Uniswap?
Поставщик ликвидности - LP - для децентрализованной биржи Uniswap потерял $ 8 миллионов в ходе фишинговой атаки. Жертва ошибочно предоставила хакерам доступ, приняв участие в поддельном эйрдропе, или раздаче монет.
Киберпреступники использовали фейковый токен Uniswap UNI в качестве приманки. Когда жертва забирала токен, то взаимодействовала с вредоносным смарт-контрактом, давшим хакерам полный контроль над кошельком жертвы.
Это открыло доступ мошенникам к 7,500 ETH на сумму $ 8 миллионов. Незаконно получив доступ к кошельку, хакер вышел из позиции ликвидности пользователя, обменял активы и перевел их. При этом хакер направил средства через Tornado Cash, миксер транзакций в сети Ethereum, что не позволяет отследить их дальнейший путь.
Во время атаки кошелек жертвы предоставлял ликвидность в один из пулов Uniswap DEX.
Первым публично сообщил об инциденте Чанпэн Чжао (Changpeng Zhao), глава биржи Binance. В ранней версии своего твита он сообщал о том, что в протоколе Uniswap есть потенциальная уязвимость. Позже он согласился - речь идет о фишинговой атаке, а не проблемах с кодом децентрализованной площадки. Основатель Uniswap Хайден Адамс (Hayden Adams) также заявляет, что фишинговая атака никак не указывает на уязвимость протокола.