Крипто-фішинговий зловмисник Uniswap вкрав 8 мільйонів доларів: як уникнути фішингу
Понад 73 тис Uniswap Постачальники ліквідності (LP), користувачі, які надають токени, що використовуються для торгівлі за протоколом Uniswap, щойно засвоїли суворий урок про класичне шахрайство. Crypto сумно відомий тим, що є мисливським полем для шахраїв і хакерів, а також одним із них найефективнішою стратегією є фішингові атаки. Оскільки криптовалюти та NFT захищені непроникною безпекою технології блокчейн, найпростішим способом викрасти активи блокчейну є обман.
У Web 2.0 фішингова атака – це тип злому, який зазвичай включає підроблений електронний лист із вкладенням, що містить вірус, який атакує пристрій одержувача або, що ще гірше, тихо сидить у фоновому режимі та збирає їхні особисті даних. У Web 3.0 фішингова атака часто є підробленим зовнішнім веб-сайтом, клонованим зі справжнього криптопроекту, призначеного для того, щоб обманом змусити користувача підписати зловмисну смарт-контракт, який передає їхні криптохолдинги в гаманець зловмисника та може надходити у формі електронного листа (якщо відомо) або через зловмисну жетон. Жертв заманюють обіцянкою «розсилки» — безкоштовного розповсюдження токенів, які зазвичай видають як винагороду першим користувачам, і шкідливий код виконується, коли вони заявляють про роздачу. На відміну від a
Згідно з CoinDesk, зловмисник Uniswap передав підроблені токени Uniswap LP у гаманці користувачів, щоб обманом змусити їх повірити вони отримали airdrop від Uniswap, і після розслідування потрапили на підроблений веб-сайт, який був Uniswap клонувати. Веб-сайт запропонував їм підключити свій гаманець і підписати транзакцію для обміну своїх токенів LP на токени UNI, таким чином завершивши airdrop. Натомість він виконував шкідливий код і вкрали всі їхні справжні токени Uniswap LP. Один користувач, який надавав WBTC і USDC, втратив від атаки більше 8 мільйонів доларів.
Не торкайтеся довільно викинутих жетонів
Проведення а шахрайство з криптовалютою не є складним. Відносно легко розробити та розгорнути шкідливий смарт-контракт, клонувати інтерфейс із відкритим кодом, а потім надіслати заражені токени всім потенційним жертвам. Ці жертви будуть досліджувати, звідки взялися токени, оскільки токени дійсно відображаються на Etherscan і мають вартість у доларах, а потім URL-адреса веб-сайту токенів буде представлена зі сторінкою, яка вимагатиме від них підключити свій гаманець і підписати транзакцію, щоб отримати свій airdrop. Необхідно провести поверхневе дослідження перед підписанням будь-яких транзакцій, які обіцяють безкоштовну криптовалюту, особливо для великих проектів, таких як Uniswap, і розглядати всю безкоштовну криптовалюту як потенційне шахрайство.
Якщо такий поважний протокол, як Uniswap, збирається провести аірдроп, він зробить оголошення у своєму блозі та на офіційних каналах соціальних мереж. Легітимні криптопроекти також дуже рідко проводять розсилання шляхом «пушингу» токени їх одержувачам, оскільки це дорого та небезпечно робити. Замість цього стандартним є використання методу доставки «витягування», коли одержувачі переходять на офіційний веб-сайт і збирають токени зі сторінки airdrop. Метод вилучення дешевший для відправника та набагато безпечніший для одержувача, оскільки він знає, звідки надійшли токени. Нарешті, законні проекти перевірятимуть і завантажуватимуть код свого смарт-контракту в дослідники блоків, такі як Etherscan, що є єдиним способом дізнатися, що в транзакції, не підписуючи її.
Перше, що має зробити користувач, якщо він отримує токени від a Web3, метавсесвіт або блокчейн project полягає в тому, щоб перевірити офіційний блог проекту та канали соціальних медіа на наявність публікації про airdrop, і якщо жодної не буде оголошено, то отримані токени слід розглядати як підозрілі. Важливо пам’ятати, що шкідливі маркери можуть атакувати, лише якщо з ними взаємодіяти. Хоча мало що можна зробити для жертв Uniswap під час фішингової атаки всі інші мають негайно запідозрити токени, отримані через pushed airdrop, оскільки це не стандартний спосіб проведення airdrop і часто використовується для фішингу напади.
Джерело: CoinDesk
Фільм «Підземелля та дракони» показує перший перегляд акторів у костюмі на Comic-Con
Про автора