Hekerji so v zadnjem napadu z lažnim predstavljanjem Uniswap ukradli 8 milijonov dolarjev v Ethereumu

Hekerji so ukradli 8 milijonov $ v ETH v zadnjem napadu z lažnim predstavljanjem na Uniswap, potem ko so pridobili dostop do LP-jev prek zlonamerne airdrop pogodbe, zato si poglejmo pobližje današnje novice o kripto valuti.

Prevara z lažnim predstavljanjem, ki je ponujala goljufivo airdrop, je uporabnike Uniswapa uspela oropati za 8 milijonov dolarjev sredstev, prevara pa je obljubila brezplačen airdrop 400 žetonov UNI v vrednosti 2200 $, zato so bili uporabniki pozvani, da povežejo svoje denarnice in podpišejo transakcijo, da zahtevajo airdrop. Pred povezavo je heker prek zlonamerne pametne pogodbe prigrabil sredstva uporabnika. Po podatkih na Etherscan je več kot 74,000 denarnic sodelovalo s pametno pogodbo o prevari. Heker je 11. julija celo uvedel pametno pogodbo.

Koda ni bila preverjena za pametno pogodbo, ki je bila nameščena na Etherscan, kar je nekaj, kar počne večina projektov, ki so dejansko zakoniti. Po uvedbi je heker za zbiranje teh spuščenih žetonov uporabnike pretental, da so podpisali transakcije, vendar je ta transakcija služila kot odobritev in je hekerju omogočila dostop do žetonov Uniswap LP, ki jih je imel uporabnik.

Ko uporabnik doda likvidnost v Uniswap, lahko v zameno prejme žetone LP kot predstavitev likvidnostnih pozicij in te žetone je mogoče prenesti kot druge NFT. S transakcijo odobritve lahko tretja oseba porabi sredstva v imenu uporabnika. Po pridobitvi dostopa iz drugih transakcij so hekerji ukradli 8 milijonov dolarjev, tako da so lahko prenesli žetone LP v njegovo denarnico in umaknili likvidnost iz Uniswapa. Heker je z izkoriščanjem kot ustvarjalec Uniswap pridobil 7500 ETH hayden adams dodano:

»To je bil lažni napad, zaradi katerega so bili nekateri LP NFT odvzeti posameznikom, ki so odobrili zlonamerne transakcije. Povsem ločeno od protokola.”

Nekdanji inženir pri Metamasku Harry Denly je dodal:

"Od bloka 151,223,32 je bilo 73,399 naslovov, ki so jim bili poslani zlonamerni žetoni, da bi ciljali na njihova sredstva, pod lažnim vtisom $UNI airdrop na podlagi njihovih LP."

Nekaj ​​ur po Denlyjevem tvitu je CEO Binance Changpeng Zhao izrazil svoje mnenje o tem vprašanju in trdil, da je bil protokol DEX izkoriščen. Kasneje po pojasnilih ekipe je potrdil, da je res šlo za lažno predstavljanje:

"To se zdi neverjetno neodgovorno tvitati, šlo je za lažno predstavljanje, ne za izkoriščanje kode Uniswap v3."

Vendar je drug uporabnik tvitnil po Zhaovem tvitu:

»Strinjajmo se, da se ne strinjamo. Osebno menim, da ko imate občinstvo [6 milijonov] ljudi, ne bi smeli širiti panike, ne da bi prej preverili svojo zgodbo.«