首页 科技内容详情
ERC换TRC:UNI token空投钓鱼攻击成功窃取Uniswap 800万美元

ERC换TRC:UNI token空投钓鱼攻击成功窃取Uniswap 800万美元

分类:科技

标签: # 新闻

网址:

SEO查询: 爱站网 站长工具

点击直达

telegram怎么搜索群聊www.tel8.vip)是一个Telegram群组分享平台,telegram怎么搜索群聊包括telegram怎么搜索群聊解决方案、telegram群组索引、Telegram群组导航、新加坡telegram群组、telegram中文群组、telegram群组(其他)、Telegram 美国 群组、telegram群组爬虫、电报群 科学上网、小飞机 怎么 加 群、tg群等内容。telegram怎么搜索群聊为广大电报用户提供各种电报群组/电报频道/电报机器人导航服务。

UNI token空投钓鱼攻击成功从Uniswap窃取价值800万美元的以太币。

Uniswap是一家去中心化的加密货币交易所,Uniswap是基于以太坊的协议,旨在促进ETH和ERC20 代币数字资产之间的自动兑换交易,可以在以太坊上自动提供流动性。

事件概述

7月11日,有Uniswap用户遭遇空投钓鱼攻击,累计被窃取7,574 ETH,价值约800万美元。Uniswap称协议本身是安全的,没有漏洞。

空投(airdrop),就是免费给区块链地址(公钥)发送代币。攻击者使用免费UNI token空投作为诱饵,诱使用户授权一个给与攻击者其钱包完全访问权限的交易。"setApprovalForAll"函数可以分为或吊销完全权限,使得攻击者可以赎回受害者钱包中的所有Uniswap v3 LP token为ETH。

Uniswap钓鱼

钓鱼攻击者创建了一个ERC token,并将其映射到持有UNI token的73399个用户。

图 发送给上万个用户的诱饵token

目的是重定向接收者到域名为uniswaplp[.]com的垃圾邮件网站,该网站伪装成的是Uniswap官网域名uniswap.org。

攻击者发送给受害者"Uniswap V3: Positions NFT",目的是诱使用户允许授权操作。攻击者将合约的emit函数设置为错误数据,使区块浏览器将Uniswap显示为发送者。

,

ERC换TRC,TRC换ERCwww.u2u.it)是最高效的ERC换TRC,TRC换ERC的平台.ERC20 USDT换TRC20 USDT,TRC20 USDT换ERC20 USDT链上匿名完成,手续费低。

,

图 滥用合约的emit函数

因为真实发送者地址与emit函数之间没有验证机制,emit函数就会被滥用来欺骗交易日志中的实体。

点击"Click here to claim"按钮的用户认为会收到奖励,事实上点击后就授予了攻击者对其数字资产的完全访问权限。

 

图 虚假token取回页面的交易按钮

加密货币钱包MetaMask已将Uniswap钓鱼攻击中使用的域名加入黑名单,以预防其他用户成为受害者。

图 MetaMask提醒钓鱼攻击威胁

如何应对

在接收空投时,在点击任何按钮前需要验证以确保网站的域名等信息。验证空投的源是避免成为垃圾邮件受害者的最好方式。


本文翻译自:https://www.bleepingcomputer.com/news/security/8-million-stolen-in-large-scale-uniswap-airdrop-phishing-attack/
 当前暂无评论,快来抢沙发吧~

发布评论