Một nhà cung cấp thanh khoản trên Uniswap đã mất 8 triệu đô la trong một cuộc tấn công lừa đảo. Nạn nhân đã cấp nhầm quyền truy cập cho tin tặc thông qua một airdrop giả mạo.

Vào thứ Hai, một tin tặc không xác định đã đánh cắp một ví được cho là nhà cung cấp thanh khoản trên sàn giao dịch phi tập trung Uniswap (DEX). 

Công ty bảo mật hợp đồng thông minh PeckShield nói rằng nhà cung cấp thanh khoản đã vô tình trở thành nạn nhân của một chiến thuật lừa đảo, cho phép hacker đánh cắp hơn 7.500 ether (8 triệu USD). 

Trước khi vụ việc xảy ra, tin tặc đã nhắm mục tiêu nạn nhân bằng cách sử dụng token airdrop Uniswap giả làm mồi lừa đảo. Khi nạn nhân yêu cầu mã thông báo, họ đã tương tác với một hợp đồng thông minh độc hại, điều này đã vô tình trao cho hacker toàn quyền kiểm soát ví của nạn nhân.

Vào thời điểm xảy ra cuộc tấn công, ví đang cung cấp 8 triệu đô la cho nhóm thanh khoản WBTC / USDC trên Uniswap version  3 (biến nó thành nhà cung cấp thanh khoản, hoặc LP).

Sau khi có được quyền truy cập bất hợp pháp vào ví, tin tặc đã thoát khỏi vị trí thanh khoản của người dùng, hoán đổi tài sản và chuyển chúng ra ngoài. Trong khi làm điều này, tin tặc đã chuyển tiền thông qua Tornado Cash, một mixer giao dịch trên mạng Ethereum.

Giám đốc điều hành Binance Changpeng Zhao là người đầu tiên đưa ra dấu hiệu về vụ việc. Trong một bài đăng trên Twitter , ban đầu anh ta tuyên bố rằng có một khả năng bị khai thác trong chính giao thức này, trước khi thực hiện một bản cập nhật ghi nhận đó không phải là trường hợp – và đó chỉ là một cuộc tấn công lừa đảo.

Người sáng lập Uniswap Hayden Adams cũng đồng tình, nói rằng cuộc tấn công lừa đảo “hoàn toàn tách biệt với giao thức”.