Uniswap 用户在网络钓鱼攻击中损失了价值 800 万美元的以太币

安全研究人员表示，周二，一名 Uniswap 用户在一次网络钓鱼攻击中损失了价值超过 800 万美元的以太币，攻击者部署了空投诱饵来欺骗用户。

根据Metamask 安全研究员“harry.eth”周一晚间发布的推文，大约 73,399 个与 Uniswap 相关的钱包地址根据其在 Uniswap 第 3 版上的流动性池头寸被发送了伪装成 uniswap 代币（UNI）空投的恶意代币。

恶意智能合约中的信息导致了一个模仿 Uniswap 域名品牌的网站。

该消息声称根据他们收到的假 LP 代币的数量向流动性提供者 (LP) 空投 UNI 代币。流动性提供者在 Uniswap 上提供他们的资产以换取奖励。

然而，与网络钓鱼消息交互，允许底层智能合约将资产转移出并获得对用户钱包的完全控制权。

一个人向 WBTC/USDC 流动性池区块链数据提供了价值超过 800 万美元的打包比特币和美元硬币 (USDC)，他在不知不觉中与网络钓鱼消息进行了交互。

攻击者能够控制钱包，退出 LP 的仓位，并将代币转移到其他钱包。区块链数据进一步显示，攻击者在周二亚洲时段早些时候开始通过隐私协议 Tornado Cash 转移被盗资金。

在攻击发生后的几个小时内，币安创始人赵长鹏提醒用户注意 Uniswap 上可能存在的漏洞。然而，这后来得到了纠正，因为该漏洞仅限于网络钓鱼消息并且不影响 Uniswap 协议，正如 Uniswap Labs 首席执行官 Hayden Adams在单独的推文中所证实的那样。