Co najmniej 4,7 miliona dolarów w ETH zostało wyłudzonych z protokołu Uniswap v3. Powodem jest wyrafinowana kampania phishingowa, wycelowana w dostawców płynności (LP). Straty mogą być jednak znacznie większe.
Exploit czy phishing?
Poniedziałek, 11 lipca, okazał się trudnym dniem dla użytkowników i deweloperów platformy Uniswap. W wyniku ataku z protokołu zniknęły ogromne pieniądze. Jedną z pierwszych osób, jaka poinformowała o zdarzeniu był Harry Denley, badacz bezpieczeństwa MetaMask. Za pośrednictwem Twittera poinformował on:
„Od bloku 151,223,32 na 73.399 adresy wysłano złośliwy token w celu wycelowania w ich zasoby, pod fałszywym wrażeniem airdrop’u $UNI na podstawie ich LP.
Aktywność rozpoczęta ~2 godziny temu”.
W wyniku działań hakerów, we wstępnej ocenie wyłudzonych zostało łącznie 4,7 miliona dolarów. Jednak inny użytkownik Twittera, o nicku Crypto 0xSisyphus zauważył, że duży dostawca płynności z około 16.140 ETH, wart 17,5 miliona dolarów, mógł również paść ofiarą ataku.
Jeszcze bardziej znaczący alarm podniósł z kolei CEO Binance, Changpeng Zhao. Poinformował on swoją społeczność, że protokół Uniswap mógł doświadczyć „potencjalnego exploitu”. Po konsultacjach z zespołem Uniswap szybko jednak zdementował taki scenariusz, znacząco uspokajając rynek.
Zasady działania phishingu
Wkrótce potem Harry Denley podzielił się ze swoimi obserwującymi zasadami, na jakich atak phishingowy miał działać. Jego zdaniem niczego niepodejrzewający użytkownik kontraktu Uniswap v3, otrzymywał airdrop o nazwie „UniswapLP”. Dochodziło do niego poprzez manipulowanie polem „From” w eksploratorze transakcji blockchain.
W dalszych krokach, zaciekawieni użytkownicy kierowani byli do strony internetowej, pozwalającej na wymianę otrzymanych tokenów na Uniswap (UNI). W efekcie strona ta zamiast wykonywać przewidzianą przez jej ofiarę transakcję, wysyłała adres użytkownika i informacje o kliencie przeglądarki do centrali atakujących. Tym sposobem przed napastnikami otwierana była droga do opróżnienia portfeli swych ofiar.
Reakcja Uniswap Labs
Zespół Uniswap Labs błyskawicznie przystąpił do działania. Oprócz informacji sprostowujących, podanych za pośrednictwem CZ, już następnego dnia przedstawiono szczegóły dotyczące ataku. Potwierdził się w nich scenariusz przedstawiony przez Denley’a.
Pośród szerokich wyjaśnień, zawarte były między innymi takie zdania:
”Chroń się przed phishingiem, sprawdzając nazwy domen. Działamy przede wszystkim pod domeną http://uniswap.org . Airdropy, które kierują Cię do nieoficjalnych domen, to prawdopodobnie próby phishingu. Nigdy nie dokonujemy airdropów bez poinformowania o tym w oficjalnych kanałach”.
Społeczność ostrzeżona została także, że podobny atak w przyszłości czekać może każdy inny protokół. W związku z tym zalecana jest szczególna ostrożność.
W wyniku ataku, UNI w krótkiej chwili stracił na swojej wycenie blisko 15%.
