Popüler bir merkezi olmayan kripto para borsası olan Uniswap, dün karmaşık bir kimlik avı saldırısında 8 milyon dolara yakın Ethereum kaybetti.
Protokol, başlangıçta şüphelenildiği gibi bir güvenlik açığından yararlanılarak tehlikeye atılmamış olsa da, siber saldırı dijital varlıklardaki birçok yatırımcıyı etkiledi.
Tehdit aktörleri, kurbanları, bilgisayar korsanlarına cüzdanlara tam erişim sağlayan bir işlem vermeleri için kandırmak için ücretsiz UNI jetonlarının (airdrop) cazibesini kullandı.
Tuzak, operatöre tam onay haklarını atayan veya iptal eden maskeli bir “setApprovalForAll” işleviydi ve esasen saldırganın kurban cüzdanındaki tüm Uniswap v3 LP jetonlarını ETH için kullanmasına izin veriyordu.
1/ Dün, bazı Uniswap LP’ler maalesef bir kimlik avı dolandırıcılığına düştü, bugün kriptoda çok yaygın bir sorun. Açık olmak gerekirse: istismar yoktu. Protokol her zaman güvendeydi ve öyle kalmaya devam ediyor. İşte olanlar.
– Uniswap Laboratuvarları (@Uniswap) 12 Temmuz 2022
Tehdit aktörleri toplamda 7.574 ETH’yi kontrolleri altındaki bir cüzdan adresine sifonladı ve hızla 7.500’ü karıştırma (aklama) için Tornado Cash hizmetine taşıdı.
Adres Değiştirme Değiştirme
Kimlik avı aktörleri bir ERC20 jetonu yarattı ve bunu UNI jetonları olan 73.399 kullanıcıya hava yoluyla gönderdi ve yüksek hacimli işlemler için TX ücretlerinde 8,5 ETH harcadı.
Amaç, alıcıları “uniswaplp” alan adındaki bir dolandırıcı web sitesine yeniden yönlendirmekti.[.]com”, resmi Uniswap etki alanı “uniswap.org”u taklit eder.
Operatör, kurbanlara “Uniswap V3: NFT Pozisyonları” olarak göründü ve böylece onları onay haklarına izin vermeleri için kandırdı.
Dolandırıcıların gönderenin adresini nasıl sızdırdığı hakkında daha fazla bilgi edinmek için buna göz atın detaylı yazı Blockchain güvenlik uzmanı Harry Denley tarafından.
Kısacası, saldırganlar, Check Point araştırmacıları olan Check Point’teki araştırmacılar, blok gezgini Uniswap’i gönderen olarak göstermesi için kandıran yanlış verilerle sözleşmenin yayma işlevini kirletti. açıklamak.
Gerçek gönderenin adresi ile emit işlevi arasında doğrulama olmadığından, ikincisi işlem günlüğündeki herhangi bir varlığı taklit etmek için kötüye kullanılabilir.
Ödüllerini almak üzere olduklarını düşünerek “Talep etmek için burayı tıklayın” düğmesine basan kullanıcılar, esasen saldırganlara varlıklarına tam erişim sağladı.
Yazılım kripto para cüzdanı MetaMask, Uniswap kimlik avında kullanılan etki alanını uyarı listesine ekledi ve böylece yeni kullanıcıların dolandırılmasını engelledi.
kendinizi nasıl korursunuz
Bir airdrop alırken, herhangi bir düğmeyi tıklamadan önce, geldiğiniz web sitesinin alan adından başlayarak her şeyi doğruladığınızdan emin olun.
Promosyon etkinliklerine veya eşantiyonlara yanıt vermeden önce, dijital varlıkların kullanıcıları, teklifin gerçek olup olmadığını platformun resmi web sitesini ve sosyal medya kanallarını da kontrol etmelidir.
Bir airdrop kaynağının doğrulanması, işlemlerin kontrolünü tek bir tıklamayla ele geçirmeyi gören dolandırıcıların kurbanı olmaktan kaçınmak için de iyi bir yoldur.