O incidente ocorreu na segunda-feira, quando um invasor enviou um token malicioso disfarçado como o token de governança nativo da exchange UNI para aproximadamente 7.399 endereços Ethereum que forneceram liquidez no Uniswap. As vítimas foram direcionadas para um site malicioso que imitava o frontend oficial da Uniswap.
O site de phishing instruiu as vítimas a reivindicar os tokens UNI maliciosos como recompensa por fornecer liquidez na exchange, mas quando as vítimas concordaram com a reivindicação, aprovaram inadvertidamente uma transação que concedeu ao invasor acesso às suas carteiras. A partir daí, o invasor pode fazer transferências de token para drenar suas carteiras.
Apesar de visar um número considerável de provedores de liquidez Uniswap, a maior parte do transporte ilícito do invasor parece ter vindo de uma única vítima. Depois de obter acesso à sua carteira, o invasor roubou o NFT que representa a posição de liquidez da vítima no pool de liquidez wBTC/USDC no Uniswap V3, saiu da posição e trocou os ativos por ETH. O invasor então começou a lavar os fundos por meio do protocolo de preservação de privacidade Tornado Cash. Com base em dados on-chain, o invasor lavou mais de 7.500 ETH no valor de aproximadamente US$ 8,6 milhões no momento do ataque.
⚠️ As of block 151,223,32, there has been 73,399 address that have been sent a malicious token to target their assets, under the false impression of a $UNI airdrop based on their LP's
Activity started ~2H ago
0xcf39b7793512f03f2893c16459fd72e65d2ed00ccc: @Uniswap @etherscan pic.twitter.com/5W51AikFuV
— harry.eth 🦊💙 (whg.eth) (@sniko_) July 11, 2022
Um pesquisador de segurança da MetaMask sob harry.eth no Twitter falou sobre o incidente na segunda-feira. No entanto, seu aviso passou despercebido até algumas horas depois, o CEO da Binance, Changpeng Zhao, alertou de forma independente sobre o mesmo incidente – primeiro alegando que havia uma exploração no próprio protocolo Uniswap V3, antes de rescindir sua reivindicação e confirmar que a exploração foi o resultado de um ataque de phishing.
Connected with the @uniswap team. The protocol is safe.
The attack looks like from a phishing attack. Both teams responded quickly. All good. Sorry for the alarm.
Learn to protect yourself from phishing. Don't click on links. 🙏 pic.twitter.com/FIXebz3iBC
— CZ 🔶 Binance (@cz_binance) July 11, 2022