Points clés à retenir
- Un pirate informatique a volé environ 8,6 millions de dollars en actifs cryptographiques lundi lors d’une attaque de phishing ciblée contre les fournisseurs de liquidités Uniswap.
- Alors que l’attaquant ciblait 7 399 adresses Ethereum, la majeure partie de son trafic semble provenir d’une seule victime.
- L’attaquant a amené les victimes à approuver une transaction malveillante en créant un faux lien de largage aérien UNI sur un site Web imitant Uniswap.
Les données en chaîne indiquent que la plupart des pertes ont été subies par un seul Ethereum wallet fournir des liquidités à Uniswap.
Les fournisseurs de liquidités Uniswap ont hameçonné pour 8,6 millions de dollars
Un pirate informatique a volé plus de 8,6 millions de dollars d’actifs cryptographiques auprès de fournisseurs de liquidités sur le plus grand réseau décentralisé au monde. exchangeUniswap.
L’incident s’est produit tard lundi lorsqu’un attaquant envoyé un mal intentionné token déguisé en exchangela gouvernance native de token UNI à environ 7 399 adresses Ethereum qui avaient fourni des liquidités sur Uniswap. Les victimes ont été dirigées vers un site Web malveillant qui imitait l’interface officielle d’Uniswap. Le site de phishing a demandé aux victimes de réclamer l’UNI malveillant tokens en récompense de l’apport de liquidités sur le exchangemais lorsque les victimes ont accepté la demande, elles ont par inadvertance approuvé une transaction qui a permis à l’attaquant d’accéder à leur wallets. De là, l’agresseur pourrait faire token transferts pour drainer leur wallets.
Malgré le ciblage d’un nombre considérable de fournisseurs de liquidités Uniswap, la majeure partie du transport illicite de l’attaquant semble provenir d’un seul victime. Après avoir accédé à leur wallet, l’attaquant a volé le NFT représentant la position de liquidité de la victime dans le pool de liquidités wBTC/USDC sur Uniswap V3, a quitté la position et a échangé les actifs contre des ETH. L’attaquant a alors commencé à blanchir les fonds via le protocole de préservation de la vie privée Tornado Cash. Sur la base des données en chaîne, l’attaquant a blanchi plus de 7 500 ETH d’une valeur d’environ 8,6 millions de dollars au moment de l’attaque.
⚠️ Au bloc 151 223,32, 73 399 adresses ont reçu un message malveillant token cibler leurs avoirs, sous la fausse impression d’un $UNI airdrop basé sur leurs LP
L’activité a commencé il y a environ 2 heures
0xcf39b7793512f03f2893c16459fd72e65d2ed00ccc : @Uniswap @etherscan pic.twitter.com/5W51AikFuV
— harry.eth 🦊💙 (whg.eth) (@sniko_) 11 juillet 2022
Un chercheur en sécurité MetaMask sous harry.eth sur Twitter sonné l’alarme sur l’incident lundi soir. Cependant, leur avertissement est passé largement inaperçu jusqu’à ce que quelques heures plus tard, le PDG de Binance, Changpeng Zhao, ait alerté indépendamment du même incident—première réclamation qu’il y avait un exploit sur le protocole Uniswap V3 lui-même, avant d’annuler sa réclamation et de confirmer que l’exploit était le résultat d’une attaque de phishing.
Les attaques de phishing sont courantes dans l’industrie de la cryptographie. Dans une autre série d’attaques, lors de la chute très médiatisée de Yuga Labs Otherside NFT en mai, les escrocs ont tiré un tour similaire en mettre en place et attirer les victimes vers des liens malveillants se faisant passer pour le site Web de Yuga Labs. Ils ont empoché plus de 3,7 millions de dollars.
Divulgation: Au moment de la rédaction de cet article, l’auteur de cet article possédait ETH et plusieurs autres crypto-monnaies.
Après mon master en Finance à l’université de Paris-Saclay, j’ai décidé de m’investir dans ce monde qui me passionne depuis des années, celui de la blockchain et des crypto monnaies, du web3 et de bien plus encore. Je partage avec vous les actualités du monde des cryptos que je trouve dans la presse internationale.