We do the research, you get the alpha!
El lunes, una estafa de phishing que ofrecía un airdrop fraudulento consiguió robar a los usuarios de Uniswap casi 8 millones de dólares en fondos.
La estafa de phishing prometía una entrega gratuita de 400 tokens UNI (con un valor aproximado de 2.200 dólares). Se pedía a los usuarios que conectaran sus criptomonedas y firmaran la transacción para reclamar el airdrop malicioso. Tras la conexión, el hacker desconocido se hizo con los fondos de los usuarios a través de un contrato inteligente malicioso.
Hasta la fecha, más de 74.000 wallets han interactuado con el contrato inteligente de la estafa, según datos de Etherscan.
El 11 de julio, el hacker desplegó un contrato inteligente malicioso, según Etherscan.
Cabe destacar que el código no fue verificado para el contrato inteligente desplegado en Etherscan, algo que hacen la mayoría de los proyectos legítimos.
Tras el despliegue, para recoger sus tokens de aire, el hacker engañó a los usuarios para que firmaran una transacción. En su lugar, esta transacción sirvió como una transacción de aprobación, dando al hacker acceso a todos los tokens Uniswap LP (Liquidity Pool) que tenían los usuarios.
Cada vez que los usuarios añaden liquidez a Uniswap, reciben a cambio tokens LP como representación de sus posiciones de liquidez. Estos tokens son transferibles y utilizan el estándar de tokens ERC-721, como todos los demás NFTs.
Por lo tanto, a través de una transacción de aprobación, un tercero (la wallet del hacker en este caso) podría gastar fondos en nombre del usuario.
Tras obtener el acceso de la transacción de aprobación anterior, el hacker transfirió todos los tokens LP a su cartera y retiró toda la liquidez de Uniswap.
El monedero del hacker ganó casi 7.573,94 Ethereum con el exploit, según la información analítica de Etherscan.
La comunidad de criptomonedas reacciona al ataque de phishing de Uniswap
"Este fue un ataque de phishing que resultó en la toma de algunos NFT de individuos que aprobaron transacciones maliciosas", dijo el creador de Uniswap, Hayden Adams. "Totalmente separado del protocolo".
"A partir del bloque 151.223.32, ha habido 73.399 direcciones a las que se les ha enviado un token malicioso para robar sus activos, bajo la falsa impresión de un airdrop de $UNI basado en sus LP", tuiteó Harry Denly, un ingeniero de seguridad de Metamask.
Horas después del tuit de Denly, Changpeng Zhao, CEO de Binance también tuiteó el asunto, inicialmente alegó que el protocolo DEX fue explotado.
Pero más tarde, tras las aclaraciones del equipo de Uniswap, confirmó que efectivamente se trataba de una estafa de phishing y que el protocolo es seguro.
"Esto parece una cosa increíblemente irresponsable para tuitear, fue una campaña de phishing, no un exploit del código Uniswap v3", respondió un usuario a la acusación inicial de Zhao.
" Acordemos no estar de acuerdo. Personalmente creo que cuando tienes una audiencia de [6 millones] de personas no deberías ir por ahí sembrando el pánico sin verificar tu historia primero", dijo otro usuario tras el tuit inicial de Zhao.
A pesar de la aclaración, el precio de UNI se desplomó más de un 10% en las horas subsiguientes.
UNI es un token de gobernanza lanzado en 2020 que permite a los titulares votar y proponer diversos cambios realizados en el protocolo de Uniswap.