เมื่อวาน ผู้ก่อตั้งและ CEO ของ Binance ฉางเผิง CZ จ้าว เปิดเผยว่ามีช่องโหว่ที่อาจเกิดขึ้นบน Uniswap V3 เนื่องจาก 4,295 ETH ถูกขโมย
Intel ภัยคุกคามของเราตรวจพบช่องโหว่ที่อาจเกิดขึ้นบน Uniswap V3 บนบล็อคเชน ETH แฮ็กเกอร์ได้ขโมย 4295 ETH จนถึงขณะนี้ และพวกเขากำลังถูกฟอกผ่าน Tornado Cash ใครก็ได้แจ้งที @ยูนิสวอป? เราสามารถช่วย. ขอบคุณhttps://t.co/OV3g7ayf77
— ซีซี ? Binance (@cz_binance) กรกฎาคม 11, 2022
4,295 ETH (อีเธอเรียม) สอดคล้องกับเกี่ยวกับ $ 4.5 ล้านและจะถูกซักผ่าน เงินสดทอร์นาโด.
อย่างไรก็ตาม นี่คงไม่ใช่ผลลัพธ์ของเหตุการณ์ที่เกิดขึ้นจริง สับ, หรือแมลง แต่ a แคมเปญฟิชชิ่ง.
เพื่อความชัดเจน นี่ไม่ใช่การใช้ประโยชน์จาก Uniswap V3 แต่ดูเหมือนว่าจะเป็นแคมเปญฟิชชิ่งที่ประสบความสำเร็จอย่างมาก https://t.co/S7vWZmT1uW
— แซมซซัน (@samczsun) กรกฎาคม 11, 2022
ฟิชชิ่งคืออะไร?
ฟิชชิ่งเป็นเทคนิคที่นำมาใช้ โดยนักต้มตุ๋นบางคนที่จัดการโน้มน้าวผู้ใช้ให้มอบข้อมูลรับรองการเข้าสู่ระบบโดยสมัครใจ มักจะวางตัวเป็นโอเปอเรเตอร์ที่ถูกต้องตามกฎหมาย
ที่ใช้กันมากที่สุด ฟิชชิ่ง เทคนิคคือเว็บไซต์ปลอมที่จำลองเว็บไซต์อื่นอย่างซื่อสัตย์เพื่อชักจูงให้ฝ่ายที่โชคร้ายป้อนข้อมูลรับรองการเข้าสู่ระบบโดยเชื่อว่าเป็นเว็บไซต์ที่ถูกต้อง
ในกรณีเฉพาะนี้ ปรากฏว่า Uniswap v3 ผู้ให้บริการสภาพคล่องของโปรโตคอล (LPs) ถูกกำหนดเป้าหมาย สมาชิกชุมชนบางคนกล่าวว่าการสูญเสียอาจมากกว่าที่ CZ ให้ความสำคัญ
คำอธิบายหนึ่งมาจากแฮรี่ เดนลีย์ นักวิจัยด้านความปลอดภัยของ MetaMask ซึ่งได้รายงานเมื่อวันจันทร์ที่ผ่านมาว่า 73,399 ที่อยู่ถูกส่งไปโทเค็นที่เป็นอันตรายซึ่งส่งผ่านเป็น UNI airdrop (โทเค็นการกำกับดูแลของ Uniswap)
⚠️ ณ บล็อก 151,223,32 มีที่อยู่ 73,399 รายการที่ส่งโทเค็นที่เป็นอันตรายเพื่อกำหนดเป้าหมายไปยังสินทรัพย์ของพวกเขาภายใต้การแสดงผลเท็จของ $ UNI airdrop ตาม LP ของพวกเขา
เริ่มกิจกรรม ~2 ชั่วโมงที่แล้ว
0xcf39b7793512f03f2893c16459fd72e65d2ed00cซีซี: @ยูนิสวอป @etherscan pic.twitter.com/5W51AikFuV
— harry.eth ?? (whg.eth) (@sniko_) กรกฎาคม 11, 2022
Uniswap ปลอม V3
สัญญาอัจฉริยะที่เป็นอันตรายกำลังแสร้งทำเป็นว่าแหล่งที่มาของโทเค็นเหล่านี้คือ “Uniswap V3: ตำแหน่ง NFT”ในขณะที่ชื่อของโทเค็นนำกลับไปที่โดเมน uniswaplp.com ซึ่งไม่มีส่วนเกี่ยวข้องกับ Uniswap แต่แกล้งทำเป็น DEX.
เว็บไซต์นี้กำหนดให้ผู้ใช้ส่งโทเค็นจริงไปยังที่อยู่ของแฮกเกอร์ ในวันจันทร์, เดนลีย์ ชี้ให้เห็นว่าด้วยเทคนิคนี้แฮกเกอร์ได้เข้าครอบครองแล้ว โทเค็น ETH, ERC20 และ NFT รวมมูลค่า $30,000.
ภายหลังพบว่าที่อยู่ที่สร้าง NFT ปลอมมีมากกว่า 16,000 ETH หรือมากกว่า 18 ล้านดอลลาร์
LP ขนาดใหญ่ถูกฟิชชิ่งหรือไม่?https://t.co/3n6oruM8Hj
v3 NFTs ใน 0x09b5 ทั้งหมดมาจากกระเป๋าเงินนี้ซึ่งมี 16k ETH ($ 18m) อยู่ในนั้น
- ซิซีฟัส (@ 0xSisyphus) กรกฎาคม 11, 2022
CZ ต่อมาตัวเองต้องแก้ไขทวีตแรกของเขาและบอกว่าไม่ใช่การเอารัดเอาเปรียบ ยืนยันสมมติฐานการโจมตีแบบฟิชชิ่ง โดยยอมรับว่า โปรโตคอล Uniswap V3 มีความปลอดภัยและมีการขอโทษ
เชื่อมต่อกับ @uniswap ทีม. โปรโตคอลมีความปลอดภัย
การโจมตีดูเหมือนมาจากการโจมตีแบบฟิชชิ่ง ทั้งสองทีมตอบสนองอย่างรวดเร็ว ทั้งหมดดี. ขออภัยสำหรับการปลุก
เรียนรู้ที่จะป้องกันตัวเองจากฟิชชิ่ง อย่าคลิกลิงก์ ? pic.twitter.com/FIXebz3iBC
— ซีซี ? Binance (@cz_binance) กรกฎาคม 11, 2022
Source: https://en.cryptonomist.ch/2022/07/13/4000-eth-stolen-uniswap-v3/