Киберпреступники Используют Multicall Uniswap V3 для Атак

Новая тактика киберпреступников состоит в использовании Multicall, законной функции Uniswap V3, для обхода мер безопасности и проведения сложных фишинговых атак. Именно благодаря этой стратегии недавно 85 ETH были выведены из кошелька жертвы, которую к сожалению заманили мошеннические действия.

Как Преступник Это Сделал?

Опыт жертвы иллюстрирует растущий тренд хакеров в злоупотреблении разрешениями Permit, что позволяет злоумышленнику выглядеть как контракт Uniswap Multicall для несанкционированного передачи активов.

Платформа противодействия мошенничеству в Web3, Scam Sniffer, предупредила сообщество о последних действиях мошенников. С помощью агрегированной функции Multicall, состоящей из permit и transfer, выкачиватель успешно провел транзакцию в украденные активы у жертвы, которая потеряла 85 ETH, что по текущей рыночной стоимости составляет почти 269 620 долларов.

В целях остаться незамеченным для MEV (Miner Extractable Value), злоумышленник также провел проверки для подтверждения подлинности исходного адреса, что сделало его действия маскированными и усложнило процесс идентификации.

Хотя были предприняты различные меры по борьбе с этим типом угрозы, front-running все еще оказался непреодолимым барьером.

Как Защититься От Такой Атаки

Разработчики реагировали на это активацией новой версии контракта Multicall с улучшенными проверками разрешений, чтобы гарантировать, что попыток front-run не произойдет снова. Крипто-пользователям стоит проявлять осторожность и не разрешать доступ токенов в Uniswap Multicall или подобные контракты. Поскольку функция ERC токенов inherent to a permissionless environment, фишинговые атаки могут быть довольно сложными для эффективного противодействия.

При дальнейшем развитии крипто-экосистемы важно оставаться в курсе лучших практик безопасности, избегать взаимодействия с злоумышленниками, а также сохранять доверие в систему децентрализованных финансов. Будьте информированы и оставайтесь в безопасности!