Cuidado: drenadores de carteiras criptográficas aproveitam contratos Uniswap legítimos para ataques de phishing

Como um investidor experiente em criptografia com algumas cicatrizes de batalha para mostrar, não posso deixar de sentir uma pontada de frustração e decepção ao ouvir sobre mais um ataque de phishing bem-sucedido no espaço DeFi. O último incidente envolvendo uma vítima que perdeu 85 Lido ETH através do contrato Multicall do Uniswap V3 é um lembrete claro de que não importa quão avançada seja a tecnologia ou quão diligentes sejamos, sempre haverá aqueles que procuram explorar vulnerabilidades e lucrar com o infortúnio dos outros.

---

Como investidor em criptografia, percebi uma nova tendência entre os drenadores de carteiras. Eles estão usando o Multicall, um recurso legítimo do Uniswap V3, de maneiras criativas para contornar medidas de segurança e executar ataques de phishing sofisticados. Infelizmente, esta tática provou ser bem-sucedida recentemente, levando ao deslocamento de 85 Lido ETH de uma vítima inocente.

Como o hacker fez isso??

Como analista de segurança, observei uma tendência alarmante de aumento nas atividades de hackers envolvendo o uso indevido de assinaturas de Permissão. Nestes incidentes, os perpetradores conseguiram fazer parecer que o contrato Uniswap Multicall é quem inicia as transferências não autorizadas de ativos, em vez da própria vítima. Esse engano pode levar a perdas financeiras significativas para usuários desavisados.

Como investidor em criptografia, gostaria de compartilhar um incidente que ocorreu recentemente no mundo Web3. A equipe vigilante do Scam Sniffer, nossa confiável plataforma anti-fraude, deu o alarme sobre alguns golpistas astutos. Aproveitando a função agregada do Multicall, esses golpistas executaram uma transação sorrateira usando recursos de permissão e transferência. Sem o conhecimento da infeliz vítima, eles conseguiram drenar 85 Lido ETH, o que equivale a aproximadamente 269.620 dólares de acordo com as taxas atuais de mercado.

Os criminosos estão explorando recursos genuínos de plataformas como o Uniswap V3 e sua função Multicall para evitar avisos de segurança de carteira, abrindo caminho para golpes de phishing bem-sucedidos. Recentemente, um usuário foi roubado de 85 Lido ETH (aproximadamente US$ 240.000) usando essas táticas há cinco dias.— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 5 de maio de 2024

Como pesquisador que estuda ataques de valor extraível de mineradores (MEV), descobri que um método que um invasor pode usar para evitar a detecção é verificar meticulosamente a autenticidade do endereço de origem antes de executar qualquer atividade maliciosa. Ao fazer isso, suas ações ficam camufladas e complicam o processo de identificação dos bots MEV.

Apesar dos vários esforços para resolver esta questão, a liderança continuou a ser um desafio imbatível.

Protegendo-se desse tipo de ataque

Como analista de segurança, eu aconselharia os desenvolvedores a implementar verificações de permissão atualizadas em seus contratos Multicall para evitar futuros incidentes de front-running. Enquanto isso, os usuários de criptografia devem ter cautela antes de aprovar qualquer token para uso em contratos como o Uniswap Multicall.

Como investidor em criptografia, percebi que a essência permissiva do processo de aprovação de tokens ERC da Ethereum o torna um alvo convidativo para esquemas de phishing astutos. É uma batalha constante permanecer vigilante e proteger meus investimentos contra esses ataques maliciosos.

No mundo em rápida evolução das criptomoedas, é essencial manter-se atualizado sobre protocolos de segurança de alto nível para evitar entidades maliciosas e manter a confiança no sistema financeiro descentralizado. Mantenha-se informado e vigilante para sua própria proteção!

• MNT/USD

• Rússia testa míssil ultrassecreto com capacidade nuclear (VÍDEO)

• Polícia usa canhões de água contra manifestantes pró-UE na Geórgia (VÍDEOS)

• O drone russo destrói a armadura fabricada em sueco perto da fronteira (vídeo)

• UE ignora o tratamento “chocante” da Igreja Cristã da Moldávia – oposição MP

• ALT/USD

• SLERF/USD

• A ajuda dos EUA a Kiev não impedirá a Rússia, dizem fontes ucranianas ao FT

• Shiba Inu levanta US$ 12 milhões para desenvolver rede de camada 3

• Terceiro suspeito detido por tentativa de assassinato de desertor ucraniano em Moscou – FSB

2024-05-06 11:22