复制成功

分享至

OKEX > 快讯 >

黑客通过 Uniswap 网络钓鱼攻击在以太坊中获得 800 万美元

2022.07.13

周一,一个提供欺诈性空投的网络钓鱼骗局成功抢走了 Uniswap用户近 800 万美元的资金。


网络钓鱼诈骗承诺免费空投 400 个 UNI 代币(价值约 2,200 美元)。用户被要求连接他们的加密钱包并签署交易以索取恶意空投。连接后,未知黑客通过恶意智能合约窃取用户资金。 


根据Etherscan的数据,迄今为止,已有超过 74,000 个钱包与网络钓鱼诈骗智能合约进行了交互


Etherscan称, 7 月 11 日,黑客部署了恶意智能合约


值得注意的是,该代码并未针对部署在 Etherscan 上的智能合约进行验证——这是大多数合法项目所做的。 


部署后,为了收集他们空投的代币,黑客诱骗用户签署交易。取而代之的是,该交易充当了批准交易,使黑客可以访问用户持有的所有 Uniswap LP(流动性池)代币。



解码交易数据的屏幕截图。资料来源:Etherscan。

每当用户向 Uniswap 添加流动性时,他们都会收到 LP 代币作为其流动性头寸的代表。这些代币是可转让的,我们采用 ERC-721 代币标准,就像所有其他NFT一样。


因此,通过批准交易,第三方(在本例中为黑客钱包)可以代表用户花费资金。


在从之前的批准交易中获得访问权限后,黑客所有 LP 代币转移到他的钱包中,并从 Uniswap 中提取了所有流动性。


根据Etherscan的分析信息,黑客钱包从该漏洞中获得了近 7,573.94 个以太坊。


加密社区对 Uniswap 网络钓鱼黑客的反应


Uniswap 的创建者 Hayden Adams说: “这是一次网络钓鱼攻击,导致一些 LP NFT 被从批准恶意交易的个人手中夺走。” “与协议完全分开。”




“截至第 151,223,32 个区块,已经有 73,399 个地址被发送了恶意代币来瞄准他们的资产,这是基于他们的 LP进行$UNI空投的错误印象,” Metamask 的安全工程师 Harry Denly 发推文说。


在 Denly 发布推文数小时后,币安首席执行官赵长鹏也发布了该问题,最初他声称 DEX 协议被利用。 


但后来在 Uniswap 团队澄清后,他确认确实是网络钓鱼诈骗,协议是安全的。


“这似乎是一件非常不负责任的推文,这是一次网络钓鱼活动,而不是对 Uniswap v3 代码的利用,”一位用户回应了赵的最初指控。


“让我们接收有差异的看法。我个人认为,当你有 [600 万] 人的观众时,你不应该在没有先验证你的故事的情况下四处散布恐慌,”另一位用户在赵的最初推文后 说道。


[单价]


尽管有澄清,UNI 的价格在过去 24 小时内 暴跌超过 10% 。


UNI 是2020 年推出的治理代币,持有者可以投票并提出对 Uniswap 协议进行的各种更改。


免责声明:数字资产交易涉及重大风险,本资料不应作为投资决策依据,亦不应被解释为从事投资交易的建议。请确保充分了解所涉及的风险并谨慎投资。本站资讯仅提供信息参考,不构成任何投资建议,用户一切投资行为与本站无关。

相关推荐

industry-frontier