Minstens 4,7 miljoen dollar in ETH werd gephished van het Uniswap v3 protocol. De reden is een geraffineerde phishingcampagne gericht op liquiditeitsverschaffers (LP’s). De verliezen zouden echter veel groter kunnen zijn.
Exploit of phishing?
Maandag 11 juli bleek een moeilijke dag te zijn voor gebruikers en ontwikkelaars van het Uniswap-platform. Als gevolg van de aanval is een enorme hoeveelheid geld uit het protocol verdwenen. Een van de eersten die het incident meldde was MetaMask beveiligingsonderzoeker Harry Denley. Via Twitter, meldde hij:
“Vanuit blok 151.223.32 werd een kwaadaardig token naar 73.399 adressen gestuurd om hun bronnen aan te spreken onder de valse indruk van een $UNI airdrop op basis van hun LP. Activiteit gestart ~2 uur geleden”.
In een eerste evaluatie werd in totaal 4,7 miljoen dollar aan hackers ontfutseld. Een andere Twitter-gebruiker met de bijnaam Crypto 0xSisyphus merkte echter op dat een grote liquiditeitsverschaffer met ongeveer 16.140 ETH, ter waarde van 17,5 miljoen dollar, mogelijk ook slachtoffer is geworden van de aanval.
Een nog groter alarm werd op zijn beurt geuit door de CEO van Binance, Changpeng Zhao. Hij deelde zijn gemeenschap mee dat het Uniswap-protocol mogelijk een “potentiële exploit” heeft gekend. Na overleg met het Uniswap-team wees hij een dergelijk scenario echter snel van de hand, waardoor de markt aanzienlijk werd gerustgesteld.
Principes van phishing
Kort daarna deelde Harry Denley met zijn waarnemers de principes volgens welke de phishing-aanval zou werken. Volgens hem ontving een nietsvermoedende gebruiker van het Uniswap v3 contract, een airdrop genaamd ‘UniswapLP’. Het gebeurde door het manipuleren van het ‘Van’ veld in de blockchain transactie verkenner.
In verdere stappen werden nieuwsgierige gebruikers doorverwezen naar een website waar zij de ontvangen tokens konden inwisselen voor Uniswap (UNI). Het resultaat was dat deze website, in plaats van de door het slachtoffer beoogde transactie uit te voeren, het adres en de browser cliëntgegevens van de gebruiker naar het hoofdkwartier van de aanvallers stuurde. Op die manier werd voor de aanvallers de weg vrijgemaakt om de wallet van hun slachtoffers leeg te halen.
Reactie Uniswap Labs
Het Uniswap Labs team kwam snel in actie. Naast de corrigerende informatie die via CZ werd verstrekt, werden de volgende dag al bijzonderheden over de aanslag verstrekt. Zij bevestigden het door Denley gepresenteerde scenario.
Onder de brede toelichtingen stond bijvoorbeeld:
“Bescherm uzelf tegen phishing door uw domeinnamen te controleren. Wij opereren voornamelijk onder het domein http://uniswap.org . Airdrops die u naar onofficiële domeinen leiden, zijn waarschijnlijk phishing pogingen. We voeren nooit droppings uit zonder u te informeren via de officiële kanalen.”
De gemeenschap werd er ook voor gewaarschuwd dat een soortgelijke aanval elk ander protocol in de toekomst zou kunnen te wachten staan. Als zodanig is uiterste voorzichtigheid geboden.
Als gevolg van de aanval verloor UNI in korte tijd bijna 15% van zijn waardering.
