Sáng nay, CZ đã tweet để nhắc nhở: Nhóm của chúng tôi đã phát hiện ra một lỗ hổng tiềm ẩn trên Uniswap V3 trên ETH, cho đến nay, tin tặc đã đánh cắp 4295 ETH và chúng đang rửa tiền thông qua Tornado Cash connect.

Sau khi truy vấn địa chỉ hợp đồng thông minh trong lời nhắc của CZ, người ta thấy rằng một lượng lớn ETH thực sự đã được chuyển từ Uniswap V3, nhưng dường như nó không khác gì các giao dịch rút LP thông thường.

Không lâu sau khi CZ đăng tweet, một người dùng Twitter @samczsun nói rằng đây không phải là một vụ khai thác Uniswap V3 mà là một chiến dịch lừa đảo thành công.

Khi mọi người đang thảo luận sôi nổi về vấn đề này, CZ đã tweet một lần nữa, đăng ảnh chụp màn hình cuộc trò chuyện với người sáng lập Uniswap V3, nói rằng đây thực sự là một cuộc tấn công lừa đảo, dẫn đến việc một số LP NFT của người dùng đã phê duyệt các giao dịch độc hại bị lấy một cách bất hợp pháp, nhưng điều này không liên quan gì đến giao thức Uniswap V3, một giao thức an toàn. Cuối cùng, CZ bày tỏ lời xin lỗi về lời cảnh báo và mong rằng mọi người sẽ tự bảo vệ mình khỏi lừa đảo và không nhấp vào các liên kết độc hại.

Sau đó, người sáng lập Uniswap cũng đã tweet để xác nhận rằng vụ việc là một cuộc tấn công lừa đảo và cảm ơn CZ vì đã nhắc nhở kịp thời.

Trên thực tế, ngay từ 6 giờ trước, một số cư dân mạng đã phát hiện ra cuộc tấn công lừa đảo. Đầu tiên là hợp đồng độc hại làm ô nhiễm dữ liệu sự kiện, vì vậy trình khám phá khối sẽ lập chỉ mục "Từ" là hợp đồng "Uniswap V3: Vị trí NFT" hợp pháp.

Do đó, người dùng sẽ thấy rằng "Uniswap V3: Vị trí NFT" đã gửi cho họ một mã thông báo. Họ sẽ tò mò và nhấp vào, điều này sẽ đưa họ đến một địa chỉ có tên miền “/Uniswplp.com”, bắt chước một địa chỉ Uniswap thực.

Trang web do kẻ trộm lưu trữ sau đó được gọi là ethall() khi tài liệu được nhấp vào. Nội dung của chức năng này đã bị can thiệp, nhưng chúng ta có thể hiểu rằng nó thực hiện hai việc:

a) Gửi địa chỉ và thông tin ứng dụng trình duyệt của bạn tới /66312712367123.com, những kẻ trộm có thể sử dụng thông tin này cho các hoạt động bất hợp pháp.

b) Cố gắng ăn cắp tài sản của bạn.

PeckShield cũng đã tiến hành một cuộc điều tra hồi cứu về sự cố này: Nó đã xác nhận suy luận trên và tin rằng những người có vị thế thanh khoản UniswapV3 đã nhấp nhầm vào trang web lừa đảo, dẫn đến việc đánh cắp LP NFT.

Mặc dù đây chỉ là một cuộc tấn công lừa đảo thông thường, nhưng làn sóng hoạt động này đã gây ra sự hoảng loạn trên thị trường. Hiệu suất của UNI trên thị trường thứ cấp đã dao động rất nhiều, với điểm thấp nhất giảm xuống còn 5,23 đô la và báo cáo dự kiến ​​là 5,62 đô la vào ngày xuất bản.

Là người dẫn đầu của DEX, Uniswap V3 có lượng thanh khoản lớn và lượng vị thế bị khóa đứng đầu, cho thấy xu hướng ngày càng tăng. Trong bối cảnh ngành công nghiệp thắt chặt và cạnh tranh hàng đầu hiện nay, "ô long nhỏ" của CZ rất dễ bị "giải thích quá mức" trên mạng xã hội.

Một số cư dân mạng cũng cho rằng cách làm của CZ không có gì sai, nếu không phải những người đứng đầu ngành nặng ký cảnh báo công khai về sự cố này, đội ngũ Uniswap V3 có lẽ đã không để ý và có hành động nhanh chóng.

Odaily cũng nhắc nhở mọi người rằng các cuộc tấn công lừa đảo của tin tặc đã xảy ra thường xuyên gần đây và một số lượng lớn các trang web lừa đảo khác nhau có thể được sao chép hàng loạt bằng một mẫu lừa đảo duy nhất và chi phí thực hiện hành vi xấu là cực kỳ thấp. Hy vọng rằng người dùng thông thường sẽ cảnh giác hơn, tăng cường nhận thức về bảo mật, luôn nghi ngờ và tránh trở thành nạn nhân tiếp theo.