UNI token空投釣魚攻擊成功竊取Uniswap 800萬美元
UNI token空投釣魚攻擊成功從Uniswap竊取價值800萬美元的以太幣。
Uniswap是一家去中心化的加密貨幣交易所,Uniswap是基于以太坊的協議,旨在促進ETH和ERC20 代幣數字資產之間的自動兌換交易,可以在以太坊上自動提供流動性。
事件概述
7月11日,有Uniswap用戶遭遇空投釣魚攻擊,累計被竊取7,574 ETH,價值約800萬美元。Uniswap稱協議本身是安全的,沒有漏洞。
空投(airdrop),就是免費給區塊鏈地址(公鑰)發送代幣。攻擊者使用免費UNI token空投作為誘餌,誘使用戶授權一個給與攻擊者其錢包完全訪問權限的交易。"setApprovalForAll"函數可以分為或吊銷完全權限,使得攻擊者可以贖回受害者錢包中的所有Uniswap v3 LP token為ETH。
Uniswap釣魚
釣魚攻擊者創建了一個ERC token,并將其映射到持有UNI token的73399個用戶。
圖 發送給上萬個用戶的誘餌token
目的是重定向接收者到域名為uniswaplp[.]com的垃圾郵件網站,該網站偽裝成的是Uniswap官網域名uniswap.org。
攻擊者發送給受害者"Uniswap V3: Positions NFT",目的是誘使用戶允許授權操作。攻擊者將合約的emit函數設置為錯誤數據,使區塊瀏覽器將Uniswap顯示為發送者。
圖 濫用合約的emit函數
因為真實發送者地址與emit函數之間沒有驗證機制,emit函數就會被濫用來欺騙交易日志中的實體。
點擊"Click here to claim"按鈕的用戶認為會收到獎勵,事實上點擊后就授予了攻擊者對其數字資產的完全訪問權限。
圖 虛假token取回頁面的交易按鈕
加密貨幣錢包MetaMask已將Uniswap釣魚攻擊中使用的域名加入黑名單,以預防其他用戶成為受害者。
圖 MetaMask提醒釣魚攻擊威脅
如何應對
在接收空投時,在點擊任何按鈕前需要驗證以確保網站的域名等信息。驗證空投的源是避免成為垃圾郵件受害者的最好方式。
