Güvenlik araştırmacıları, bir Uniswap kullanıcısının Salı günü saldırganın kullanıcıları kandırmak için bir airdrop yemi kullandığını gören bir kimlik avı saldırısında 8 milyon doların üzerinde ether kaybettiğini söyledi.
Metamask güvenlik araştırmacısı “harry.eth” tarafından Pazartesi gecesi atılan tweetlere göre, Uniswap’a bağlı 73.399 cüzdan adresine, Uniswap sürüm 3’teki likidite havuzu konumlarına dayalı olarak bir uniswap jetonu (UNI) hava damlası gibi görünen kötü niyetli bir jeton gönderildi.
Kötü amaçlı akıllı sözleşmedeki bilgiler, Uniswap alan markasını taklit eden bir web sitesine yol açtı.
Mesaj, aldıkları sahte LP jetonlarının sayısına bağlı olarak UNI jetonlarını likidite sağlayıcılarına (LP) havadan bıraktığını iddia etti. Likidite sağlayıcıları, ödül karşılığında varlıklarını Uniswap üzerinden tedarik eder.
Bununla birlikte, kimlik avı mesajıyla etkileşim, temeldeki akıllı sözleşmeye varlıkları dışarı aktarma ve bir kullanıcının cüzdanının tam kontrolünü ele geçirme izni verdi.
Bir WBTC/USDC likidite havuzu blok zinciri verilerine 8 milyon dolardan fazla sarılmış bitcoin ve USD Coin (USDC) sağlayan bir kişinin, kimlik avı mesajıyla bilmeden etkileşime girdiği görülüyor.
Saldırgan cüzdanın kontrolünü ele geçirmeyi, LP’nin pozisyonlarından çıkmayı ve jetonları diğer cüzdanlara transfer etmeyi başardı. Blockchain verileri ayrıca, saldırganın Salı günü Asya’nın erken saatlerinde gizlilik protokolü Tornado Cash aracılığıyla çalınan fonları taşımaya başladığını gösteriyor.
Saldırıyı takip eden saatlerde Binance kurucusu Changpeng Zhao, kullanıcıları Uniswap’ta olası bir açıktan haberdar olmaları konusunda uyardı. Ancak bu, daha sonra, Uniswap Labs CEO’su Hayden Adams’ın ayrı tweet’lerde onayladığı gibi, bir kimlik avı mesajıyla sınırlı olduğu ve Uniswap protokolünü etkilemediği için düzeltildi.
