黑客通過惡意空投合約獲得LP 訪問權限後,在對Uniswap 的最新網絡釣魚攻擊中竊取了800 萬美元的ETH,讓我們仔細看看今天的加密新聞。
提供欺詐性空投的網絡釣魚騙局成功搶走了Uniswap 用戶800 萬美元的資金,該騙局承諾免費空投400 個價值2200 美元的UNI 代幣,因此要求用戶連接他們的錢包並簽署交易以領取空投。在連接之前,黑客通過惡意智能合約劫持了用戶資金。根據Etherscan 上的數據,超過74,000 個錢包與詐騙智能合約進行了交互。黑客甚至在7 月11 日部署了智能合約。
該代碼未針對部署在Etherscan 上的智能合約進行驗證,這是大多數實際上合法的項目所做的事情。部署後,為了收集這些空投代幣,黑客誘騙用戶簽署交易,但該交易作為批准交易,讓黑客可以訪問用戶持有的Uniswap LP 代幣。
當用戶向Uniswap 添加流動性時,他們可以獲得LP 代幣作為流動性頭寸的代表作為回報,這些代幣可以像其他NFT 一樣轉移。通過批准交易,第三方可以代表用戶花費資金。在從其他交易中獲得訪問權限後,黑客通過將LP 代幣轉移到他的錢包並從Uniswap 中提取liquditiy 來竊取800 萬美元。 Uniswap 的創建者Hayden Adams 補充說,黑客從該漏洞中獲得了7500 ETH:
“這是一次網絡釣魚攻擊,導致一些LP NFT 被從批准惡意交易的個人手中奪取。 與協議完全分開。”
Metamask 的前工程師Harry Denly 補充道:
“截至第151,223,32 個區塊,已經有73,399 個地址被發送了惡意令牌以針對他們的資產,這是基於他們的LP 進行$UNI 空投的錯誤印象。”
在Denly 發布推文數小時後,幣安首席執行官趙長鵬就該問題發表了看法,並聲稱DEX 協議被利用。後來經過團隊的澄清,他確認確實是網絡釣魚詐騙:
“這似乎是一件非常不負責任的推文,這是一次網絡釣魚活動,而不是對Uniswap v3 代碼的利用。”
然而,在趙的推文之後,另一位用戶發了推文:
“讓我們接收有差異的看法。 我個人認為當你有觀眾 [6 million] 你不應該在沒有先核實你的故事的情況下四處散佈恐慌。 ”
資訊來源:由0x資訊編譯自DCFORECASTS,版權歸作者Stefan所有,未經許可,不得轉載