โดยสรุป
- ผู้ให้บริการสภาพคล่อง Uniswap สูญเสีย $8 ล้านดอลลาร์สหรัฐ จากการโจมตีแบบฟิชชิ่ง (phishing attack)
- เหยื่อเข้าใจผิดว่าให้สิทธิ์เข้าถึงแฮ็กเกอร์ผ่าน airdrop ปลอม
เมื่อวันจันทร์ มีรายงานว่าแฮ็กเกอร์นิรนามฉกจาก Wallet ที่เชื่อว่าเป็นผู้ให้บริการสภาพคล่องใน Uniswap decentralized exchange (DEX)
PeckShield บริษัทด้านความปลอดภัยสัญญาอัจฉริยะ บอกกับทาง The Block ว่า ผู้ให้บริการสภาพคล่องนี้ ตกเป็นเหยื่อการโจมตีแบบฟิชชิ่ง ทำให้แฮ็กเกอร์ฉก Ether ไปได้มากว่า 7,500 ether ($8 ล้านดอลลาร์สหรัฐ)
ก่อนเกิดเหตุการณ์นี้ แฮ็กเกอร์พุ่งเป้าเหยื่อโดยใช้ fake Uniswap airdrop หลอกล่อเหยื่อ เมื่อเหยื่ออ้างสิทธิ์ในโทเคน พวกเขาก็โต้ตอบด้วยสัญญาอัจฉริยะที่เป็นมัลแวร์ (malicious smart contract) ทำให้แฮ็กเกอร์ควบคุม wallet ของเหยื่อได้โดยไม่รู้ตัว
ในช่วงโจมตี Wallet ได้ให้โทเคน $8 ล้านดอลลาร์สหรัฐแก่ WBTC/USDC liquidity pool บน Uniswap version 3
หลังจากได้เข้าถึง Wallet แล้วโดยมิชอบแล้ว แฮ็กเกอร์ลาจากโดยเปลี่ยนสินทรัพย์แล้วโอนออก โดยแฮ็กเกอร์ได้กำหนดเส้นทางเงินผ่าน Tornado Cash เป็นธุรกรรม transaction mixer บนเครือข่าย Ethereum
คุณ Changpeng Zhao ซีอีโอ Binance เป็นคนแจ้งเหตุการณ์นี้เป็นคนแรก ในโพสต์ Twitter ในตอนแรกอ้างว่าช่องโหว่ที่อาจเกิดขึ้นในโปรโตคอลก่อนมีการอัพเดทในภายหลัง โดยไม่ได้ระบุรายละเอียด และบอกแค่ว่าเป็นการโจมตีแบบฟิชชิ่ง
คุณ Hayden Adams ผู้ก่อตั้ง Uniswap บอกว่า การโจมตีแบบฟิชชิ่งนี้ “แยกออกจากโปรโตคอลโดยสิ้นเชิง”
ที่มา : theblock.co
