針對Uniswap v3 協議的流動性提供者(LP) 的複雜網絡釣魚活動已經看到攻擊者盜取了至少價值470 萬美元的以太坊(ETH)。但是,社區報告的損失可能更大。
Metamask 安全研究員Harry Denley 是最早對這次攻擊敲響警鐘的人之一,他在7 月11 日告訴他的13,000 名Twitter 追隨者,已向73,399 個地址發送了惡意ERC-20 代幣以竊取他們的資產。
⚠️ 截至第151,223,32 區塊,已有73,399 個地址被發送惡意代幣來攻擊他們的資產,假裝是 $UNI 根據他們的LP 進行空投
活動開始於~2H 前
0xcf39b7793512f03f2893c16459fd72e65d2ed00c抄送: @Uniswap @etherscan pic.twitter.com/5W51AikFuV
— harry.eth (whg.eth) (@sniko_) 2022 年7 月11 日
據推特稱,此次攻擊至少損失了470 萬美元的ETH 郵政 來自幣安首席執行官趙長鵬“CZ”趙。但是,加密社區中也有報導稱,入侵可能會造成更大的損失。
著名的加密Twitter 用戶0xSisyphus 在7 月11 日指出,一個價值約1750 萬美元、價值約16,140 ETH 的“大型LP”也可能被釣魚。
大型LP 是否被釣魚?https://t.co/3n6oruM8Hj
0x09b5 中的v3 NFT 都來自這個錢包,裡面有16k ETH(1800 萬美元)
— 西西弗斯(@0xSisyphus) 2022 年7 月11 日
這個怎麼運作
根據Denley 的說法,網絡釣魚攻擊通過向毫無戒心的用戶發送一個名為“UniswapLP”的“惡意代幣”來起作用——通過操縱區塊鏈交易瀏覽器中的“From”字段,使其看起來來自合法的“Uniswap V3:Positions NFT”合約.
對他們的新代幣感興趣的用戶將被引導到一個網站,該網站聲稱允許他們將新代幣換成Uniswap 的原生代幣 統一,在撰寫本文時,每個價值5.34 美元。
相反,該網站會將用戶的地址和瀏覽器客戶端信息發送到攻擊者的指揮中心,該指揮中心還將試圖從他們的錢包中提取加密貨幣。
一個Reddit 郵政 對這次攻擊的解釋還指出,攻擊者從受害者那裡竊取了原生代幣(ETH)、ERC20 代幣和NFT(即Uniswap LP 頭寸)。
請注意,目前正在發生針對Uniswap V3 LP 的網絡釣魚詐騙。
它看起來不像Uniswap 協議黑客。
無論如何,如果您將代幣空投到您的ynknown 來源的錢包- 不要與他們互動!
— 梅爾(@belikewater893) 2022 年7 月11 日
不是漏洞利用
幣安的首席執行官趙第一次對這次攻擊發出警報時,在加密市場上掀起了波瀾,稱其為“潛在利用” ETH 區塊鏈上的Uniswap 協議。
有關的: 金融重新定義:Uniswap 逆勢而上,超越以太坊
趙在發布後不久進行了另一次更新澄清,與Uniswap 團隊進行了對話,後者指出這次攻擊是網絡釣魚攻擊的一部分,而不是協議的任何問題。
與 @uniswap 團隊。該協議是安全的。
該攻擊看起來像是來自網絡釣魚攻擊。兩隊反應迅速。都好。對不起警報。
學會保護自己免受網絡釣魚。不要點擊鏈接。 pic.twitter.com/FIXebz3iBC
— CZ幣安(@cz_binance) 2022 年7 月11 日
CZ 最初令人擔憂的評論恰逢Uniswap 價格大幅下跌,跌至24 小時低點5.34 美元。在撰寫本文時,UNI 的價格在澄清後回升至5.48 美元,但在24 小時內仍下跌11%,較歷史最高點(ATH) 下跌87.8%。