Une campagne de phishing sophistiquée ciblant les fournisseurs de liquidités (LP) du protocole Uniswap v3 a vu des attaquants s’emparer d’au moins 4,7 millions de dollars d’Ethereum (ETH). Cependant, la communauté rapporte que les pertes pourraient être encore plus importantes.
Le chercheur en sécurité de Metamask, Harry Denley, a été l’un des premiers à tirer la sonnette d’alarme de l’attaque, déclarant à ses 13 000 abonnés sur Twitter le 11 juillet que 73 399 adresses avaient reçu des jetons ERC-20 malveillants pour voler leurs actifs.
⚠️ Au bloc 151,223,32, il y a eu 73,399 adresses qui ont reçu un jeton malveillant pour cibler leurs actifs, sous la fausse impression d’un $UNI airdrop basé sur leurs LP
L’activité a commencé il y a environ 2 heures
0xcf39b7793512f03f2893c16459fd72e65d2ed00ccc : @Uniswap @etherscan pic.twitter.com/5W51AikFuV
— harry.eth (whg.eth) (@sniko_) 11 juillet 2022
Au moins 4,7 millions de dollars en ETH ont été perdus dans l’attaque, selon un Twitter Publier du PDG de Binance, Changpeng « CZ » Zhao. Cependant, il existe également des rapports parmi la communauté cryptographique selon lesquels il pourrait y avoir des pertes plus importantes dues à l’incursion.
L’éminent utilisateur de crypto Twitter 0xSisyphus a noté le 11 juillet qu’un « grand LP » avec environ 16 140 ETH, d’une valeur de 17,5 millions de dollars, pourrait également avoir été hameçonné.
un grand LP a-t-il été hameçonné ?https://t.co/3n6oruM8Hj
les NFT v3 en 0x09b5 proviennent tous de ce portefeuille qui contient 16 000 ETH (18 millions de dollars)
— Sisyphe (@0xSisyphe) 11 juillet 2022
Comment ça fonctionne
Selon Denley, l’attaque de phishing fonctionne en envoyant aux utilisateurs sans méfiance un « jeton malveillant » appelé « UniswapLP » – qui semble provenir du contrat légitime « Uniswap V3 : Positions NFT » en manipulant le champ « De » dans l’explorateur de transactions blockchain. .
Les utilisateurs curieux de connaître leurs nouveaux jetons seraient dirigés vers un site Web censé leur permettre d’échanger leurs nouveaux jetons contre le jeton natif UNI d’Uniswap, d’une valeur de 5,34 $ chacun au moment de la rédaction.
Le site Web enverrait à la place l’adresse des utilisateurs et les informations du client du navigateur au centre de commande des attaquants, qui tenterait également de drainer la crypto-monnaie de leurs portefeuilles.
Un Reddit Publier expliquant également l’attaque a noté que les attaquants avaient volé des jetons natifs (ETH), des jetons ERC20 et des NFT (à savoir les positions Uniswap LP) aux victimes.
Veuillez noter qu’il existe actuellement une escroquerie par hameçonnage qui cible les LP d’Uniswap V3.
Cela ne ressemble pas à un piratage du protocole Uniswap.
Quoi qu’il en soit, si vous recevez des jetons d’origine inconnue dans votre portefeuille, n’interagissez pas avec eux !!!
– Mel (@ belikewater893) 11 juillet 2022
Pas un exploit
Le PDG de Binance, Zhao, a créé des vagues sur les marchés de la cryptographie lorsqu’il a sonné l’alarme pour la première fois à propos de l’attaque, la qualifiant d ‘ »exploit potentiel » du protocole Uniswap sur la blockchain ETH.
Lié: La finance redéfinie : Uniswap va à contre-courant des tendances baissières, dépasse Ethereum
Zhao a clarifié peu après le message avec une autre mise à jour, partageant une conversation avec l’équipe Uniswap, qui a noté que l’attaque faisait partie d’une attaque de phishing plutôt que d’un problème avec le protocole.
Connecté avec le @uniswap équipe. Le protocole est sûr.
L’attaque ressemble à une attaque de phishing. Les deux équipes ont réagi rapidement. Tout bon. Désolé pour l’alarme.
Apprenez à vous protéger du phishing. Ne cliquez pas sur les liens. pic.twitter.com/FIXebz3iBC
– CZ Binance (@cz_binance) 11 juillet 2022
Les premiers commentaires alarmants de CZ ont coïncidé avec une forte baisse du prix Uniswap, qui est tombé à un creux de 24 heures de 5,34 $. Le prix d’UNI s’est depuis redressé après la clarification à 5,48 $ au moment de la rédaction, mais il est toujours en baisse de 11 % en 24 heures et en baisse de 87,8 % par rapport à son niveau record (ATH).