Sau khi giành được quyền truy cập vào Uniswap LP thông qua một hợp đồng airdrop độc hại, tin tặc đã đánh cắp hơn 7.500 Ethereum.
Vào thứ Hai, một vụ lừa đảo đưa ra một airdrop gian lận đã cướp được gần 8 triệu đô la tiền của người dùng Uniswap.
Kẻ Lừa đảo đã hứa hẹn một đợt airdrop miễn phí 400 mã thông báo UNI (trị giá khoảng 2.200 đô la). Người dùng được yêu cầu kết nối ví tiền điện tử của họ và ký vào giao dịch để xác nhận đợt airdrop độc hại. Sau khi kết nối, tin tặc đã lấy tiền của người dùng thông qua một hợp đồng thông minh độc hại.
Cho đến nay, hơn 74.000 ví đã tương tác với hợp đồng thông minh lừa đảo trực tuyến, theo dữ liệu từ Etherscan.
Vào ngày 11 tháng 7, hacker đã triển khai một hợp đồng thông minh độc hại, theo Etherscan.
Đáng chú ý, mã không được xác minh cho hợp đồng thông minh được triển khai trên Etherscan — điều mà hầu hết các dự án hợp pháp đều làm.
Sau khi triển khai, để thu thập các mã thông báo đã được airdrop của họ, tin tặc đã lừa người dùng ký một giao dịch. Thay vào đó, giao dịch này đóng vai trò là giao dịch phê duyệt, cấp cho hacker quyền truy cập vào tất cả các mã thông báo Uniswap LP (Nhóm thanh khoản) do người dùng nắm giữ.
Bất cứ khi nào người dùng thêm thanh khoản vào Uniswap, họ sẽ nhận được mã thông báo LP đổi lại như một đại diện cho các vị trí thanh khoản của họ. Các mã thông báo này có thể chuyển nhượng và chúng tôi sử dụng tiêu chuẩn mã thông báo ERC-721, giống như tất cả các NFT khác.
Do đó, thông qua một giao dịch phê duyệt, bên thứ ba (ví của hacker trong trường hợp này) có thể chi tiền thay mặt cho người dùng.
Sau khi có được quyền truy cập từ giao dịch phê duyệt trước đó, tin tặc đã chuyển tất cả các mã thông báo LP vào ví của mình và rút toàn bộ thanh khoản khỏi Uniswap.
Theo thông tin phân tích từ Etherscan, ví tiền của hacker đã thu được gần 7.573,94 Ethereum từ việc khai thác.
Cộng đồng tiền điện tử phản ứng với vụ hack lừa đảo Uniswap
“Đây là một cuộc tấn công lừa đảo (Phishing Attack) dẫn đến một số NFT LP được lấy từ những cá nhân đã chấp thuận các giao dịch độc hại,” người sáng lập Uniswap Hayden Adams cho biết. “Hoàn toàn tách biệt khỏi giao thức”.
“Tính đến khối 151.223.32, đã có 73.399 địa chỉ đã được gửi mã thông báo độc hại để nhắm mục tiêu tài sản của họ, dưới ấn tượng sai lầm về một đợt airdrop UNI dựa trên LP của họ” Harry Denly, một kỹ sư bảo mật tại Metamask đã tweet.
Vài giờ sau tweet của Denly, Changpeng Zhao, Giám đốc điều hành của Binance cũng đã tweet về vấn đề này, ban đầu ông cáo buộc rằng giao thức DEX đã bị khai thác.
Nhưng sau khi được nhóm Uniswap làm rõ, anh ấy xác nhận rằng đó thực sự là một trò lừa đảo trực tuyến và giao thức này là an toàn.
“Đây có vẻ như là một điều cực kỳ vô trách nhiệm khi tweet, đó là một chiến dịch lừa đảo, không phải là một sự khai thác mã Uniswap v3” một người dùng phản hồi cáo buộc ban đầu của CZ.
“Cá nhân tôi nghĩ rằng khi bạn có một lượng khán giả là 6 triệu người, bạn không nên đi loanh quanh để lan truyền sự hoảng sợ mà không xác minh câu chuyện của mình trước” một người dùng khác nói sau dòng tweet đầu tiên của Zhao.
Mặc dù đã được làm rõ nhưng giá UNI đã giảm mạnh hơn 10% trong 24 giờ qua.
UNI là một mã thông báo quản trị được ra mắt vào năm 2020 cho phép chủ sở hữu bỏ phiếu và đề xuất các thay đổi khác nhau được thực hiện đối với giao thức Uniswap.
Theo: decrypt
Khuyến cáo: Thông tin trên bài viết này chỉ mang tính tham khảo, không có bất kỳ lời khuyên nào về mua bán, đầu tư. Bạn hãy tự nghiên cứu trước khi thực hiện bất kỳ hình thức đầu tư nào.
1 Response
[…] sát địa chỉ ví do CEO của Binance cung cấp, có thể thấy hacker đã rút hơn 7.574 ETH từ Uniswap, trị giá gần 8,5 triệu USD tại thời điểm phát hiện. Toàn bộ số tiền đã […]