Deux utilisateurs d’Uniswap ont remis plus de 8 millions de dollars en bitcoins et en éther après que des escrocs de largage aérien les aient tentés avec seulement 2 000 $ de l’UNI natif de l’échange token.
Lundi, une escroquerie par hameçonnage a ciblé les fournisseurs de liquidité V3 (LP) d’Uniswap – des détenteurs de crypto qui fournissent à l’échange le capital dont il a besoin pour faciliter les transactions.
Le ou les pirates ont envoyé des jetons d’escroquerie intégrés avec un smart contract qui a été programmé pour drainer les portefeuilles cryptographiques vers près de 75 000 utilisateurs.
Blockchain la société d’analyse PeckShield a déclaré à CNET qu’un portefeuille perdu 2 444 ETH (2,5 millions de dollars) et 201 BTC (3,8 millions de dollars). Un deuxième commerçant malchanceux a remis 834 ETH (850 000 $) et 39 BTC (740 000 $).
Les fonds volés, totalisant 8 millions de dollars, ont tous été convertis en ETH avant d’être envoyés au mélangeur crypto Tornado Cash.
Lire la suite: Personne n’a perdu de crypto dans l’escroquerie de phishing MetaMask, déclare Coinzilla
Selon Harry Denley, ingénieur en sécurité de Metamask, les pirates ont passé 8,53 ETH (8 700 $) en frais d’essence pour bombarder 74 800 LP avec de faux jetons pointant vers une URL malveillante.
S’ils suivaient l’URL, les utilisateurs recevaient un message affirmant qu’ils recevraient un airdrop UNI en fonction de leur participation dans le pool de liquidités Uniswap – les LP reçoivent un token sous la forme d’un NFT reconnaissant leur participation.
Le site Web indiquait que plus de 70 000 utilisateurs avaient été invités au parachutage mais qu’il n’y avait que 10 000 UNI disponibles. Les données Etherscan prétendent montrer la valeur des transferts sortants 400 UNI (2 000 $) chacun à des dizaines de milliers d’adresses qui ont toutes été mises sur la liste rouge par l’explorateur de la blockchain.
En cliquant sur le lien pour réclamer les jetons, le LP involontaire a été invité à signer un contrat « setApprovalForAll() » qui permettait à l’escroc d’accéder à sa position de liquidité et de la vider.
Le vrai airdrop d’Uniswap bâtardé par des escrocs
Changpeng Zhao, directeur général de Binance, n’a pas tardé à tweet sur le problème, faisant allusion à un exploit du protocole d’Uniswap. Cependant, plus tard, il admis être un peu gâchette heureuse et s’est excusé d’avoir semé la panique.
Dans un tweet mardi, la société de sécurité blockchain PeckShield déclaré que les faux jetons ont été envoyés à de grands noms du monde de la cryptographie, notamment Vitalik Buterin et Justin Sun.
Il a été suggéré que cette dernière arnaque aurait pu être inspirée par les précédents airdrops légitimes d’Uniswap. En septembre 2020, l’échange a offert 49 millions de jetons UNI aux fournisseurs de liquidité V1 et V2.
Lire la suite: L’escroquerie par hameçonnage utilise le Twitter de Beeple pour voler 400 000 $ en crypto et NFT
Et Uniswap n’est pas le seul à être la cible de ce type d’attaques. Le Bored Ape Yacht Club (BAYC) assiégé a été touché par un certain nombre d’escroqueries par hameçonnage, y compris un récent faux airdrop de son ApeCoin token.
Les pirates ont volé des millions de dollars de NFT après avoir réquisitionné des comptes officiels de médias sociaux pour publier un lien de phishing offrant l’accès à un airdrop ApeCoin.
Pour des nouvelles plus informées, suivez-nous sur Twitter et Googlejee Nouvelles ou écoutez notre podcast d’investigation Innové : Blockchain Ville.