Vào thứ Hai vừa qua, một tin tặc ẩn danh đã đánh cắp một ví điện tử được cho là của nhà cung cấp thanh khoản trên sàn giao dịch phi tập trung nổi tiếng Uniswap (DEX), gây thiệt hại lên tới 8 triệu USD
Cụ thể, công ty bảo mật Smart Contract PeckShield đã chia sẻ về việc một nhà cung cấp thanh khoản trên Uniswap đã vô tình trở thành nạn nhân của một chiến thuật lừa đảo tinh vi mới, từ đó bị đánh cắp hơn 7.500 ether (8 triệu USD).
Trước khi vụ việc xảy ra, tin tặc này đã nhắm mục tiêu vào các nạn nhân bằng cách sử dụng token airdrop Uniswap giả làm mồi lừa đảo. Khi nạn nhân nhận được token giả, họ đã tương tác với một smart contract có chứa các hàm độc hại, từ đó trao quyền cho hacker toàn quyền kiểm soát ví của nạn nhân.
Vào thời điểm xảy ra cuộc tấn công, ví của nạn nhân đang cung cấp 8 triệu USD thanh khoản cho cặp giao dịch WBTC / USDC trên Uniswap V3 (hay còn gọi là Liquidity Provider – Nhà cung cấp thanh khoản).
Sau khi có được quyền truy cập vào ví, tin tặc đã nhanh tróng rút khỏi vị trí cung cấp thanh khoản của người dùng, swap tài sản và chuyển ra ngoài ví của nạn nhân. Nhằm che giấu dòng tiền, tin tặc này đã chuyển tiền thông qua Tornado Cash, một máy trộn giao dịch trên mạng Ethereum nhằm xóa đi dấu vết của dòng tiền bị hack.
Trước thông tin trên, Giám đốc điều hành Binance, Changpeng Zhao (CZ) đã là người đầu tiên đưa ra thông tin về vụ việc. Trong một bài đăng trên Twitter, ban đầu anh tuyên bố rằng có một khả năng cuộc tấn công nhằm vào chính giao thức Uniswap, trước khi trao đổi với đội ngũ quản lý Uniswap và đồng ý rằng đây chỉ là một loại hình tấn công lừa đảo trên Web2 – tất cả các smart contract của UniswapV3 đều an toàn. Trong khi đó, người sáng lập Uniswap Hayden Adams cũng đồng tình với ý kiến trên và nói rằng cuộc tấn công lừa đảo “hoàn toàn không liên quan với giao thức [Uniswap]”.
