Los atacantes saquearon al menos 4,7 millones de dólares en Ethereum de los intercambios de criptomonedas a través de una estafa de token fraudulenta dirigida a los proveedores de liquidez (LP) del protocolo Uniswap v3 (ETH). A partir de ahora, antes de que se publique un próximo anuncio válido para una nueva moneda, los piratas informáticos engañan a las personas con anuncios o listados de aspecto similar donde pueden robar dinero sin ser rastreados fácilmente. Afortunadamente, existen otras formas de protegerse contra este tipo de estafas.
En comparación con sus competidores centralizados, la estructura descentralizada de plataformas como Uniswap tiene varias ventajas, incluidas las listas de tokens abiertas y gratuitas que hacen que sea más fácil y asequible comenzar nuevas empresas. Por lo tanto, se ha convertido en un objetivo común y fácil para los estafadores.
Lectura relacionada | GameStop lanza el mercado NFT
Con la capacidad de proporcionar intercambios entre Ethereum (ETH) y varios tokens ERC-20, así como fondos de liquidez y la capacidad de obtener ganancias mediante el depósito de tokens, el intercambio descentralizado de Uniswap se ha convertido en una de las plataformas más conocidas del movimiento.
El protocolo Uniswap ahora viene en tres versiones diferentes. Están disponibles V1 y V2 de código abierto y con licencia GPL. Con algunos cambios menores, V3 es de código abierto.
Bitcoin se cotiza actualmente a $ 19,611 en el gráfico diario | Fuente: gráfico BTC/USDT de Tradingview.com
Ataque de phishing de token falso de Uniswap
Uno de los primeros en alertar a la gente sobre el ataque fue Harry Denley, investigador de seguridad de Metamask. Publicó un tuit el 11 de julio y declaró:
A partir del bloque 151,223,32, hubo 73,399 direcciones a las que se les envió un token malicioso para apuntar a sus activos, bajo la falsa impresión de un airdrop de $UNI basado en sus LP.
En otro tuit, Denley afirma que el “token malicioso” utilizado en el ataque de phishing se proporciona a clientes ingenuos en un esfuerzo por engañarlos para que piensen que proviene del Uniswap V3 legítimo. También dijo que:
Primero, el contrato malicioso contamina los datos del evento para que los exploradores de bloques indexen el “De” como el contrato legítimo “Uniswap V3: Positions NFT”.
Lectura relacionada | Binance bajo fuego: el informe dice que eludió las sanciones y continuó sirviendo a los clientes iraníes
El CEO de Binance, Zhao, también dio la alarma sobre el ataque. Lo llamó una “explotación potencial” del protocolo Uniswap en la cadena de bloques Ethereum. Como dice su tuit:
Nuestra información sobre amenazas detectó un posible exploit en Uniswap V3 en la cadena de bloques ETH. El hacker ha robado 4295 ETH hasta el momento y están siendo lavados a través de Tornado Cash.
Zhao publicó una disculpa poco después del tuit e incluyó detalles de su conversación con el equipo de Uniswap. Afirmó que el ataque fue un ataque de phishing, no un problema de protocolo, y agregó que “el protocolo es seguro”.
Imagen destacada de Flickr y el gráfico de Tradingview.com