Ilustração mostra sinal triangular de alerta vermelho e anzol simulando golpe de phishing
Shutterstock

Na segunda-feira (11), um ataque de phishing que oferecia tokens gratuitos (do inglês “airdrop”) fraudulentos conseguiu roubar US$ 8 milhões em fundos de usuários da Uniswap.

O esquema de phishing prometia o airdrop gratuito de 400 tokens UNI (equivalentes a aproximadamente US$ 2,2 mil). Usuários precisavam conectar suas carteiras cripto e assinar a transação para resgatar o airdrop malicioso. Mediante a conexão, o hacker desconhecido roubou fundos de usuários por meio de um contrato autônomo ou inteligente fraudulento.

Publicidade

Até esta terça-feira (12), mais de 74 mil carteiras interagiram com o falso contrato autônomo, de acordo com dados do explorador de blocos Etherscan.

Montagem do golpe

No dia 11 de julho, o hacker implementou um contrato autônomo fraudulento, segundo o Etherscan. É importante dizer que o código não foi verificado pelo contrato autônomo implementado no Etherscan — algo feito pela maioria dos projetos autênticos.

Após a implementação, para obter os tokens gratuitos, o hacker enganou usuários a assinarem uma transação. Em vez disso, essa transação serviu como uma transação de aprovação, dando ao hacker acesso a todos os tokens de pool de liquidez (ou “LP tokens”) da Uniswap armazenados pelo usuário.

Captura de tela dos dados decodificados pela transação (Imagem: Etherscan)

Quando usuários acrescentam liquidez à Uniswap, recebem tokens do pool de liquidez que representam suas posições de liquidez. Esses tokens são transferíveis e usam o padrão de tokens ERC-721, assim como todos os outros tokens não fungíveis (ou NFTs).

Publicidade

Em virtude de uma transação de aprovação, um terceiro (a carteira do hacker, neste caso) pode gastar fundos em nome do usuário.

Após obter acesso da transação anterior que foi aprovada, o hacker transferiu todos os tokens do pool de liquidez e removeu toda a liquidez da Uniswap.

A carteira do hacker ganhou quase 7.573,94 ETH (ou US$ 8,1 milhões) com a invasão, de acordo com informações de análise do Etherscan.

CZ entra na história

“Esse foi um ataque de phishing que resultou no roubo de alguns NFT LP de pessoas que aprovaram transações falsas”, explicou o criador da Uniswap, Hayden Adams. “[É algo] totalmente distinto do protocolo.”

Publicidade

“No bloco nº 151.223.32, houve 73.399 endereços que receberam um token fraudulento para roubar seus ativos sob a falsa impressão de um airdrop de UNI com base em seus [tokens] LPs”, tuitou Harry Denly, engenheiro de segurança da MetaMask.

Horas após o tuíte de Denly, Changpeng Zhao (ou CZ), o CEO da Binance, também tuitou sobre o problema, inicialmente dando um alarme falso de que o protocolo de corretora descentralizada (ou DEX) teria sido invadido.

Mas na sequência, após esclarecimentos da equipe da Uniswap, ele confirmou que realmente se tratava de um esquema de phishing e que o protocolo estava seguro.

https://twitter.com/cz_binance/status/1546631971626958848

“Isso parece algo bastante irresponsável de tuitar: Foi uma campanha de phishing, e não uma invasão ao código da V3 da Uniswap”, respondeu um usuário à alegação inicial de CZ.

“Vamos concordar em discordar. Eu pessoalmente acredito que quando você tem uma audiência de seis milhões de pessoas, você não deveria sair por aí espalhando pânico sem verificar sua história primeiro”, disse outro usuário após o primeiro tuíte de CZ.

Publicidade

Apesar do esclarecimento, o preço do token UNI despencou em mais de 7,7% nas últimas 24 horas.

UNI é um token de governança lançado em 2020 que permite que holders votem e proponham diversas mudanças feitas ao protocolo Uniswap.

*Traduzido por Daniela Pereira do Nascimento com autorização do Decrypt.co.

Procurando uma corretora segura que não congele seus saques? No Mercado Bitcoin, você tem segurança e controle sobre seus ativos. Faça como nossos 3,8 milhões de clientes e abra já sua conta!

VOCÊ PODE GOSTAR
Ilustração da memcoin em Solana Bonk

Como criar uma memecoin em Solana com a Pump.fun

Protocolo viralizou ao permitir a qualquer pessoa criar uma criptomoeda por cerca de R$ 15
dupla de homens sendo presa

Irmãos são presos por roubo de R$ 130 milhões em ataque de 12 segundos na rede Ethereum

O procurador americano Damian Williams disse que “este suposto esquema era novo e nunca havia sido acusado antes”
Imagem da matéria: Projeto de universitários brasileiros ganha R$ 50 mil em hackathon global da Solana

Projeto de universitários brasileiros ganha R$ 50 mil em hackathon global da Solana

Grupo criou aplicação para conectar via blockchain produtores de energia e estações de abastecimento, com a mira no mercado de carros elétricos
Ilustração de correntes ilustradas com pequenos zeros e uns

Projeto para soluções do sistema carcerário via blockchain vence hackathon na Ethereum Rio

Freedom Chains visa que todo tipo de comportamento do preso seja registrado on chain para evitar corrupção ou injustiças