Uniswap遭网络钓鱼攻击，损失高达800万美元

去中心化加密货币交易所Uniswap遭到网络钓鱼攻击，损失了价值高达800 万美元的以太坊。此次攻击没有通过利用协议漏洞，但网络攻击影响了很多数字资产投资者。攻击者向受害者发送了钓鱼网站以及发送了名为Uniswap LP的恶意代币，并声称可以将Uniswap LP代币换成UNI。以此诱骗用户进行交易，从而读取敏感信息并从钱包中窃取资金。

事件详情

2022年7月12日，攻击者总共将 7,574 ETH 转移到他们控制的钱包地址，并迅速将 7,500 转移到 Tornado Cash 服务进行混合（洗钱）。欺骗 Uniswap网络钓鱼者创建了一个 ERC20 代币，还将其空投给持有 UNI 代币的 73,399 名用户，并为大量交易花费了 8.5 ETH 的 TX 费用。

攻击者将诱饵代币发送给成千上万的用户目标，并将收件人重定向到域“uniswaplp[.]com”上的诈骗网站，该网站冒充 Uniswap 官方域“uniswap.org”。该运营商以“Uniswap V3: Positions NFT”的形式出现在受害者面前，从而诱使他们获得批准权。

Check Point 的研究人员解释说，攻击者用虚假数据污染了合约的发送功能，诱使区块浏览器将 Uniswap 显示为发送者。滥用合约中的 emit 函数 （Check Point），由于实际发送者的地址和发出函数之间没有验证，后者可以被滥用来欺骗交易日志中的任何实体。

一些认为自己即将获得奖励的用户，按下“单击此处领取”按钮，从而授予了攻击者对其资产的完全访问权限。目前，加密货币钱包 MetaMask 已将 Uniswap 网络钓鱼中使用的域添加到其警告列表中，从而防止新用户被骗。

网络钓鱼风险警告

1、如何保护自己收到空投时，要确保在单击任何按钮之前验证所有内容，包括登陆的网站的域名是否正确。

2、在回应促销活动或赠品之前，数字资产用户还应检查平台的官方网站和社交媒体渠道，以确保优惠是真实的。

3、验证空投的来源也是避免成为骗子的受害者的好方法，攻击者一般是通过用户单击来控制交易。

一些Uniswap LP 陷入了网络钓鱼诈骗，这是加密货币中常见的问题之一。Uniswap团队回应称本次攻击为钓鱼攻击，没有漏洞利用，Uniswap V3协议本身没有安全问题的。