Un elaborato attacco di phishing ha sottratto 8 milioni di dollari in criptovalute agli utenti di Uniswap. Pensavano di ricevere un lancio aereo. Cos’è successo?
Phishing: gli utenti Uniswap abboccano
L’attacco è stato descritto da Harry Denley, analista di Metamask, che spiega come si è svolto il phishing e come sono stati ingannati gli utenti di Uniswap. Un “token maligno” è stato presumibilmente inviato ai fornitori di liquidità (LP), con la promessa di un airdrop:
⚠️ A partire dal blocco 151.223.32, ci sono stati 73.399 indirizzi a cui è stato inviato un token malevolo per colpire le loro attività, sotto la falsa impressione di un airdrop $UNI basato sui loro LP.
Attività iniziata ~2H fa
0xcf39b7793512f03f2893c16459fd72e65d2ed00ccc: @Uniswap @etherscan pic.twitter.com/5W51AikFuV
– harry.eth (whg.eth) (@sniko_) July 11, 2022
Sono state utilizzate diverse tecniche per far sembrare legittimo questo falso lancio aereo. In primo luogo, gli aggressori sono riusciti a far indicizzare l’upload su browser di blocco come Etherscan, in modo che sembrasse provenire da un contratto legittimo:
Il nome di questo token dannoso era collegato a un nome di dominio /uniswaplp.com, che a sua volta imitava l’aspetto delle normali comunicazioni Uniswap. I fondi sono stati poi rubati da questo sito secondario. In totale, più di 8 milioni di dollari in ETH sono stati inviati al frullatore di Tornado Cash per essere riciclati.
Changpeng Zhao lancia l’allarme
Molti hanno reagito a questo attacco massiccio, tra cui Changpeng Zhao di Binance. Un po’ troppo in fretta? Il CEO di Binance ha annunciato che i suoi team hanno “rilevato un potenziale attacco a Uniswap V3, sulla blockchain ETH”. Poi si è corretto, dicendo che si trattava solo di un attacco di phishing, ma molto efficace:
Collegamento con il team @uniswap Il protocollo è sicuro.
L’attacco sembra un attacco di phishing. Entrambe le squadre hanno risposto rapidamente. Tutto bene. Scusate per l’allarme.
Imparate a proteggervi dal phishing. Non cliccate sui link. pic.twitter.com/FIXebz3iBC
– CZ Binance (@cz_binance) 11 luglio 2022
La lezione di questo caso è che bisogna sempre fare molta attenzione, anche quando il sito sembra legittimo. Non lo si ripeterà mai abbastanza: cliccare su link sconosciuti non è una buona idea e utilizzare portafogli “freddi” è il modo migliore per proteggere le proprie criptovalute.