Более 73 000 поставщиков ликвидности Uniswap (LP), пользователей, которые предоставляют токены, используемые для торговли по протоколу Uniswap, только что усвоили суровый урок классической аферы. Криптовалюта печально известна тем, что является охотничьим угодьем для мошенников и хакеров, и одной из самых эффективных стратегий являются фишинговые атаки. Поскольку криптовалюты и NFT защищены непроницаемой защитой технологии блокчейна, самый простой способ украсть активы блокчейна — это обман.
В Web 2.0 фишинговая атака — это тип взлома, который обычно включает поддельное электронное письмо с вложением, содержащим вирус, который атакует устройство получателя или, что еще хуже, тихо сидит в фоновом режиме и собирает его личные данные. В Web 3.0 фишинговая атака часто представляет собой поддельный интерфейсный веб-сайт, клонированный из реального криптопроекта, предназначенный для того, чтобы обманом заставить пользователя подписать вредоносный смарт-контракт, который переводит их криптоактивы в кошелек злоумышленника и может иметь форму по электронной почте (если известно) или через вредоносный токен. Жертв заманивают обещанием «аирдропа» — бесплатной раздачи токенов, обычно выдаваемой в качестве награды для первых пользователей, и вредоносный код запускается, когда они запрашивают аирдроп. В отличие от крипто-мошенничества с насосом и дампом, фишинговая атака использует смарт-контракт, чтобы напрямую украсть активы жертвы из их кошелька.
Согласно CoinDesk, злоумышленник Uniswap переместил поддельные токены Uniswap LP в кошельки пользователей, чтобы заставить их поверить в то, что они получили аирдроп от Uniswap, и после расследования был перенаправлен на поддельный веб-сайт, который был клоном Uniswap. Веб-сайт предложил им подключить свой кошелек и подписать транзакцию для обмена своих токенов LP на токены UNI, тем самым завершив раздачу. Вместо этого он выполнил вредоносный код и украл все их настоящие токены Uniswap LP. Один пользователь, предоставлявший WBTC и USDC, потерял в результате атаки более 8 миллионов долларов.
Не прикасайтесь к случайным раздачам токенов
Провести аферу с криптовалютой не сложно. Относительно легко разработать и развернуть вредоносный смарт-контракт, клонировать внешний интерфейс с открытым исходным кодом, а затем отправить зараженные токены всем потенциальным жертвам. Эти жертвы будут выяснять, откуда пришли токены, поскольку токены отображаются на Etherscan и имеют долларовую стоимость, а при переходе по URL-адресу веб-сайта токенов будет представлена страница, требующая от них подключить свой кошелек и подписать транзакцию, чтобы потребовать их аирдроп. Перед подписанием любых транзакций, обещающих бесплатную криптовалюту, необходимо провести поверхностное исследование, особенно для крупных проектов, таких как Uniswap, и рассматривать любую бесплатную криптовалюту как потенциальную аферу.
Если такой уважаемый протокол, как Uniswap, собирается провести аирдроп, он сделает объявление в своем блоге и на официальных каналах в социальных сетях. Легальные криптопроекты также очень редко проводят аирдропы, «передавая» токены своим получателям, поскольку это дорого и небезопасно. Вместо этого стандартно используется метод доставки «pull», когда получатели переходят на официальный сайт и собирают токены со страницы раздачи. Метод вытягивания дешевле для отправителя и гораздо безопаснее для получателя, поскольку он знает, откуда пришли токены. Наконец, законные проекты будут проверять и загружать свой код смарт-контракта в обозреватели блоков, такие как Etherscan, что является единственным способом узнать, что находится в транзакции, не подписывая ее.
Первое, что должен сделать пользователь, если он получает токены от проекта Web3, метавселенной или блокчейна, — это проверить официальный блог проекта и каналы социальных сетей на наличие сообщения об аирдропе, и если ничего не объявлено, то полученные токены должны быть обработаны. как подозрительно. Важно помнить, что вредоносные токены могут атаковать только в том случае, если с ними взаимодействуют. Хотя мало что можно сделать для жертв фишинговой атаки Uniswap, всем остальным следует сразу же с подозрением относиться к токенам, полученным через push-аирдроп, поскольку это не является стандартным в отрасли способом проведения аирдропов и часто используется для фишинговые атаки.
Последнее обновление 05.01.2023
