Gli aggressori hanno saccheggiato almeno 4,7 milioni di dollari di Ethereum dagli scambi di criptovaluta attraverso una truffa di token fraudolenta che prende di mira i fornitori di liquidità (LP) del protocollo Uniswap v3 (ETH). A partire da ora, prima che venga pubblicato un annuncio valido imminente per una nuova moneta, gli hacker ingannano le persone con annunci o elenchi dall'aspetto simile in cui possono rubare denaro senza essere facilmente rintracciati. Fortunatamente, ci sono altri modi per proteggersi da questo tipo di truffe.
Rispetto ai suoi concorrenti centralizzati, la struttura decentralizzata di piattaforme come Uniswap presenta numerosi vantaggi, tra cui elenchi di token aperti e gratuiti che rendono più facile e conveniente avviare nuove iniziative. Quindi, quindi, si è trasformato in un bersaglio comune e facile per i truffatori.
Lettura correlata | GameStop lancia il mercato NFT
Con la possibilità di fornire scambi tra Ethereum (ETH) e diversi token ERC-20, nonché pool di liquidità e la possibilità di guadagnare rendimenti depositando token, lo scambio decentralizzato di Uniswap è diventato una delle piattaforme più note del movimento.
Il protocollo Uniswap ora è disponibile in tre diverse versioni. Sono disponibili open source e V1 e V2 con licenza GPL. Con alcune piccole modifiche, V3 è open source.
Attacco di phishing con token falso Uniswap
Uno dei primi ad avvisare le persone dell'attacco è stato Harry Denley, un ricercatore di sicurezza presso Metamask. Ha pubblicato un tweet l'11 luglio e ha dichiarato:
A partire dal blocco 151,223,32, ci sono stati 73,399 indirizzi a cui è stato inviato un token dannoso per prendere di mira le loro risorse, sotto la falsa impressione di un airdrop $UNI basato sui loro LP.
In un altro tweet , Denley afferma che il "token dannoso" utilizzato nell'attacco di phishing viene fornito a clienti ingenui nel tentativo di indurli a pensare che provenga dal legittimo Uniswap V3. Ha anche detto che:
Innanzitutto, il contratto dannoso inquina i dati dell'evento in modo che i block explorer indicizzino "Da" come contratto legittimo "Uniswap V3: Positions NFT".
Lettura correlata | Binance Under Fire: il rapporto afferma che ha aggirato le sanzioni e ha continuato a servire i clienti iraniani
Anche il CEO di Binance Zhao ha lanciato l'allarme sull'attacco. Lo ha definito un "potenziale exploit" del protocollo Uniswap sulla blockchain di Ethereum. Come afferma il suo tweet :
Le nostre informazioni sulle minacce hanno rilevato un potenziale exploit su Uniswap V3 sulla blockchain di ETH. L'hacker ha finora rubato 4295 ETH e vengono riciclati tramite Tornado Cash.
Zhao ha pubblicato dellescuse poco dopo il tweet e ha incluso i dettagli della sua conversazione con il team di Uniswap. Ha affermato che l'attacco era un attacco di phishing, non un problema di protocollo, aggiungendo che "il protocollo è sicuro".
Immagine in primo piano da Flickr e grafico da Tradingview.com