Changpeng «CZ» Zhao, CEO de Binance y Harry Denley, investigador de seguridad de MetaMask fueron los primeros en alertar sobre una nueva y muy sofisticada compaña de phishing dirigida a los proveedores de liquidez (LP) del protocolo Uniswap v3.
El ataque habría permitido que el hacker robara al menos $4.7 millones en ETH. Sin embargo, la comunidad cripto informa que las pérdidas podrían ser mucho más significativas. Denley dio la voz de alarma a través de Twitter, informando que casi 73.400 direcciones habrían recibido tokens ERC-20 maliciosos para sustraer sus activos digitales.
⚠️ As of block 151,223,32, there has been 73,399 address that have been sent a malicious token to target their assets, under the false impression of a $UNI airdrop based on their LP's
Activity started ~2H ago
0xcf39b7793512f03f2893c16459fd72e65d2ed00ccc: @Uniswap @etherscan pic.twitter.com/5W51AikFuV
— harry.eth 🦊💙 (whg.eth) (@sniko_) July 11, 2022
Por su parte, Changpeng «CZ» Zhao también usó su cuenta en Twitter, para informar que el pirata informático habría sustraído más de $4 millones en tokens de Ethereum en un exploit a Uniswap. Aunque en el mismo tweet señalaba lo siguiente: “el ataque se parece más a un ataque de phishing. Ambos equipos respondieron rápidamente. Todo está bien. Lo siento por la alarma”.
did a large LP get phished?https://t.co/3n6oruM8Hj
the v3 NFTs in 0x09b5 all originated from this wallet which has 16k ETH ($18m) sitting in it
— Sisyphus (@0xSisyphus) July 11, 2022
Como parte de este ataque también surgieron otras alertas. El usuario de Twitter 0xSisyphus comunicaba a la comunidad que una “gran LP” o proveedor de liquidez habría sido afectado por un ataque. En su tweet se indica sobre el robo de 16.140 ETH, por un valor de casi $18 millones de dólares.
Te puede interesar: Proyectos en la Web3 Avanzan a Pesar de los Ataques
No es un exploit de Uniswap, fue un ataque phishing
En un principio la publicación de Changpeng «CZ» Zhao causó alarma en el mercado cripto; sobre todo porque lo calificó como un “potencial exploit” del protocolo de Uniswap en la cadena de bloques de Ethereum.
Connected with the @uniswap team. The protocol is safe.
The attack looks like from a phishing attack. Both teams responded quickly. All good. Sorry for the alarm.
Learn to protect yourself from phishing. Don't click on links. 🙏 pic.twitter.com/FIXebz3iBC
— CZ 🔶 Binance (@cz_binance) July 11, 2022
Aunque Zhao luego publicó una actualización del caso, ya su mensaje habría generado una gran alarma. Recordemos que el ataque de phishing funciona enviando un mensaje para captar usuarios desprevenidos. En este caso contenía un “token malicioso” llamado por el hacker como “UniswapLP”.
Los tokens parecían provenir del “contrato legítimo Uniswap V3: Positions NFT”, esto dio cierta credibilidad ante los incautos usuarios. Quienes atraídos por la curiosidad decidieron adquirirlos; estos “nuevos tokens” podían retirase a través de “un sitio web operado por Uniswap”. Tenían un valor de $5,34 y esto atrajo a muchos usuarios que invirtieron sus ETH en este timo.
Please be aware that there is currently a Phishing scam happening that targets Uniswap V3 LP’s.
It does not look like a Uniswap protocol hack.
No matter what, if you get tokens airdropped to your wallet of ynknown origin – DON’T Interact with them !!!
— Mel 🦇🔊 (@belikewater893) July 11, 2022
Por último, en una publicación de Reddit se señalaba que el ataque había logrado sustraer una gran cantidad de tokens nativos como Ether, tokens ERC-20 y NFT de múltiples víctimas y usuarios de Uniswap LP.
