Na segunda-feira (11), um ataque de phishing que oferecia tokens gratuitos (do inglês “airdrop”) fraudulentos conseguiu roubar US$ 8 milhões em fundos de usuários da Uniswap.
O esquema de phishing prometia o airdrop gratuito de 400 tokens UNI (equivalentes a aproximadamente US$ 2,2 mil). Usuários precisavam conectar suas carteiras cripto e assinar a transação para resgatar o airdrop malicioso. Mediante a conexão, o hacker desconhecido roubou fundos de usuários por meio de um contrato autônomo ou inteligente fraudulento.
Até esta terça-feira (12), mais de 74 mil carteiras interagiram com o falso contrato autônomo, de acordo com dados do explorador de blocos Etherscan.
Montagem do golpe
No dia 11 de julho, o hacker implementou um contrato autônomo fraudulento, segundo o Etherscan. É importante dizer que o código não foi verificado pelo contrato autônomo implementado no Etherscan — algo feito pela maioria dos projetos autênticos.
Após a implementação, para obter os tokens gratuitos, o hacker enganou usuários a assinarem uma transação. Em vez disso, essa transação serviu como uma transação de aprovação, dando ao hacker acesso a todos os tokens de pool de liquidez (ou “LP tokens”) da Uniswap armazenados pelo usuário.
Quando usuários acrescentam liquidez à Uniswap, recebem tokens do pool de liquidez que representam suas posições de liquidez. Esses tokens são transferíveis e usam o padrão de tokens ERC-721, assim como todos os outros tokens não fungíveis (ou NFTs).
Em virtude de uma transação de aprovação, um terceiro (a carteira do hacker, neste caso) pode gastar fundos em nome do usuário.
Após obter acesso da transação anterior que foi aprovada, o hacker transferiu todos os tokens do pool de liquidez e removeu toda a liquidez da Uniswap.
A carteira do hacker ganhou quase 7.573,94 ETH (ou US$ 8,1 milhões) com a invasão, de acordo com informações de análise do Etherscan.
CZ entra na história
“Esse foi um ataque de phishing que resultou no roubo de alguns NFT LP de pessoas que aprovaram transações falsas”, explicou o criador da Uniswap, Hayden Adams. “[É algo] totalmente distinto do protocolo.”
Leia Também
“No bloco nº 151.223.32, houve 73.399 endereços que receberam um token fraudulento para roubar seus ativos sob a falsa impressão de um airdrop de UNI com base em seus [tokens] LPs”, tuitou Harry Denly, engenheiro de segurança da MetaMask.
Horas após o tuíte de Denly, Changpeng Zhao (ou CZ), o CEO da Binance, também tuitou sobre o problema, inicialmente dando um alarme falso de que o protocolo de corretora descentralizada (ou DEX) teria sido invadido.
Mas na sequência, após esclarecimentos da equipe da Uniswap, ele confirmou que realmente se tratava de um esquema de phishing e que o protocolo estava seguro.
“Isso parece algo bastante irresponsável de tuitar: Foi uma campanha de phishing, e não uma invasão ao código da V3 da Uniswap”, respondeu um usuário à alegação inicial de CZ.
“Vamos concordar em discordar. Eu pessoalmente acredito que quando você tem uma audiência de seis milhões de pessoas, você não deveria sair por aí espalhando pânico sem verificar sua história primeiro”, disse outro usuário após o primeiro tuíte de CZ.
Apesar do esclarecimento, o preço do token UNI despencou em mais de 7,7% nas últimas 24 horas.
UNI é um token de governança lançado em 2020 que permite que holders votem e proponham diversas mudanças feitas ao protocolo Uniswap.
*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.
Procurando uma corretora segura que não congele seus saques? No Mercado Bitcoin, você tem segurança e controle sobre seus ativos. Faça como nossos 3,8 milhões de clientes e abra já sua conta!