一次精心策划的网络钓鱼攻击,从Uniswap用户那里吸走了800万美元的加密货币。他们认为他们得到的是一个空投。发生了什么?
Phishing: Uniswap users take bait
Metamask的分析师Harry Denley描述了这次攻击,他解释了钓鱼网站是如何发生的,以及Uniswap用户是如何被愚弄的。据称,一个 “恶意令牌 “被发送给流动性提供者(LPs),并承诺空投:
。
⚠️截至151,223,32区块,已经有73,399个地址被发送了恶意代币,以他们的资产为目标,在$UNI空投的错误印象下,根据他们的LP的
活动开始于~2小时前
0xcf39b7793512f03f2893c16459fd72e65d2ed00ccc: @Uniswap @etherscan pic.twitter.com/5W51AikFuV
– harry.eth (whg.eth)(@sniko_) July 11, 2022
使用了几种技术,使这个假的空投看起来合法。首先,攻击者设法使上传的内容在诸如Etherscan等块状浏览器上被索引,从而使其看起来来自合法的合同:
。
这个恶意令牌的名称与/uniswaplp.com域名相连,其本身就模仿了普通Uniswap通信的外观。然后,这些资金从这个二级网站被盗。总共有超过800万美元的ETH被送到龙卷风现金混合器中进行洗钱。
赵长鹏发出警报
许多人对这次大规模的攻击作出了反应,包括Binance的赵长鹏。有点太快了?Binance的首席执行官宣布,他的团队已经 “检测到对ETH区块链的Uniswap V3的潜在攻击”。然后他纠正了自己,说这只是一次网络钓鱼攻击–但却是一次非常有效的攻击:
。
与@uniswap团队联系。该协议是安全的。
攻击看起来像是来自网络钓鱼攻击。两支球队都迅速作出反应。都很好。很抱歉发出了警报。
学会保护自己免受网络钓鱼的侵害。不要点击链接。pic.twitter.com/FIXebz3iBC
– CZ Binance (@cz_binance) July 11, 2022
此案的教训是,即使网站看起来合法,也必须始终非常小心。不能再重复了:点击未知链接不是一个好主意,使用 “冷 “钱包是保护你的加密货币的最佳方式。