El lunes, una estafa de phishing que ofrecía un airdrop fraudulento logró robar a los usuarios de Uniswap casi $8 millones en fondos.

La estafa de phishing prometía un airdrop gratuito de 400 tokens UNI (por un valor aproximado de $2,200). Se pidió a los usuarios que conectaran sus billeteras criptográficas y firmaran la transacción para reclamar el airdrop malicioso. Tras la conexión, el hacker desconocido se apoderó de los fondos de los usuarios a través de un contrato inteligente malicioso.

Hasta la fecha, más de 74,000 billeteras han interactuado con el contrato inteligente de estafa de phishing, según datos de Etherscan.

El 11 de julio, el hacker desplegó un contrato inteligente malicioso, según Etherscan.

En particular, el código no se verificó para el contrato inteligente implementado en Etherscan, algo que hacen la mayoría de los proyectos legítimos.

Después de la implementación, para recopilar sus tokens lanzados desde el aire, el hacker engañó a los usuarios para que firmaran una transacción. En cambio, esta transacción sirvió como una transacción de aprobación, dando al hacker acceso a todos los tokens Uniswap LP (Liquidity Pool) en poder del usuario.

Cada vez que los usuarios agregan liquidez a Uniswap, reciben tokens LP a cambio como una representación de sus posiciones de liquidez. Estos tokens son transferibles y nosotros el estándar de token ERC-721, como todos los demás NFT.

Por lo tanto, a través de una transacción de aprobación, un tercero (la billetera hacker en este caso) podría gastar fondos en nombre del usuario.

Después de obtener acceso de la transacción de aprobación anterior, el hacker transfirió todos los tokens LP a su billetera y retiró toda la liquidez de Uniswap.

La billetera hacker ganó casi 7,573.94 Ethereum del exploit, según la información analítica de Etherscan.

La comunidad criptográfica reacciona al hackeo de phishing de Uniswap

«Este fue un ataque de phishing que resultó en que algunos LP NFT fueran tomados de personas que aprobaron transacciones maliciosas», dijo el creador de Uniswap, Hayden Adams. «Totalmente separado del protocolo».

«A partir del bloque 151,223,32, ha habido 73,399 direcciones a las que se les ha enviado un token malicioso para apuntar a sus activos, bajo la falsa impresión de un lanzamiento aéreo $UNI basado en sus LP», tuiteó Harry Denly, ingeniero de seguridad de Metamask.

Horas después del tweet de Denly, Changpeng Zhao, CEO de Binance también tuiteó el tema, inicialmente alegó que el protocolo DEX fue explotado.

Pero más tarde, después de las aclaraciones del equipo de Uniswap, confirmó que de hecho era una estafa de phishing y que el protocolo es seguro.

«Esto parece una cosa increíblemente irresponsable de tuitear, fue una campaña de phishing, no un exploit del código Uniswap v3», respondió un usuario a la acusación inicial de Zhao.

«Aceptemos estar en desacuerdo. Personalmente, creo que cuando tienes una audiencia de [6 millones] de personas, no debes ir por ahí propagando el pánico sin verificar primero tu historia», dijo otro usuario después del tweet inicial de Zhao.

A pesar de la aclaración, el precio de UNI se ha desplomado más de un 10% en las últimas 24 horas.

UNI es un token de gobernanza lanzado en 2020 que permite a los titulares votar y proponer varios cambios realizados en el protocolo Uniswap.

Pagina Original:

Hackers Nab $8M in Ethereum via Uniswap Phishing Attack