Propracovaný phishingový útok odčerpal od uživatelů služby Uniswap 8 milionů dolarů v kryptoměnách. Mysleli si, že dostanou výsadek. Co se stalo?
Phishing: Uživatelé Uniswapu naletěli
Útok popsal Harry Denley, analytik společnosti Metamask, který vysvětluje, jak k phishingu došlo a jak byli uživatelé služby Uniswap oklamáni. Poskytovatelům likvidity (LP) byl údajně zaslán „škodlivý token“ s příslibem airdropu:
⚠️ Od bloku 151 223 32 bylo 73 399 adres, kterým byl zaslán škodlivý token, aby se zaměřil na jejich aktiva, pod falešným dojmem $UNI airdrop na základě jejich LP.
Aktivita zahájena před ~2H
0xcf39b7793512f03f2893c16459fd72e65d2ed00ccc: @Uniswap @etherscan pic.twitter.com/5W51AikFuV
– harry.eth (whg.eth) (@sniko_) July 11, 2022
K tomu, aby tento falešný výsadek vypadal legitimně, bylo použito několik technik. Útočníkům se nejprve podařilo dosáhnout indexace nahrávky v blokových prohlížečích, jako je Etherscan, takže se zdálo, že pochází z legitimní smlouvy:
Název tohoto škodlivého tokenu byl spojen s názvem domény /uniswaplp.com, který sám o sobě napodoboval vzhled běžné komunikace Uniswap. Z tohoto sekundárního místa pak byly finanční prostředky odcizeny. Celkem bylo do směšovače Tornado Cash odesláno k vyprání více než 8 milionů dolarů v ETH.
Changpeng Zhao bije na poplach
Na tento masivní útok reagovalo mnoho lidí, včetně Binance Changpenga Zhao. Příliš rychle? Generální ředitel společnosti Binance oznámil, že jeho týmy „zjistily potenciální útok na Uniswap V3 na blockchainu ETH“. Pak se opravil a řekl, že šlo pouze o phishingový útok – ale velmi účinný:
Spojeno s týmem @uniswap Protokol je bezpečný.
Útok vypadá jako phishingový útok. Oba týmy reagovaly rychle. Vše v pořádku. Omlouváme se za poplach.
Naučte se chránit před phishingem. Neklikejte na odkazy. pic.twitter.com/FIXebz3iBC
– CZ Binance (@cz_binance) July 11, 2022
Z tohoto případu plyne ponaučení, že je třeba být vždy velmi opatrný, i když se stránka jeví jako legitimní. Nelze než zopakovat, že klikání na neznámé odkazy není dobrý nápad a že nejlepší způsob, jak své kryptoměny ochránit, je používat „studené“ peněženky.