Miliónový útok na decentralizovanú burzu Uniswap

Burzy predstavujú neodmysliteľnú súčasť ekosystému kryptomien a množstvo ich používateľov celosvetovo neustále prudko narastá. Jedná sa o obľúbený cieľ útokov hackerov, nakoľko používatelia sa musia pri ich využívaní defacto vzdať vlastníctva kryptomien a spoliehať sa na zabezpečenie danej platformy. Za niekoľko rokov sa tak pri podobných útokoch doslova vyparili stovky miliónov dolárov. Zmenu priniesli decentralizované burzy, ktoré majú oproti centralizovaným hneď niekoľko výhod. Hlavnú predstavuje to, že používatelia obchodujú priamo a platforme nemusia zveriť svoje osobné údaje a ani aktíva. Obozretnosť je však dôležitá aj v tomto priestore a presvedčili sa o tom aj používatelia najznámejšej decentralizovanej burzy Uniswap.

 

Uniswap je jedným z lídrov DEX

 

Túto decentralizovanú burzu môžeme považovať za jednu z najobľúbenejších na trhu a to najmä vďaka širokej škále poskytovaných služieb. Súčasťou ekosystému je aj governance token UNI, ktorý vznikol v roku 2020 a svojim holderom umožňuje hlasovať a navrhovať zmeny na protokole Uniswap.

Platforma ponúka aj možnosť vytvorenia pasívneho príjmu a to prostredníctvom poskytovania likvidity pre obchodovanie na burze v takzvanom Uniswap LP (Liquidity Pool). Ak používateľ pridá do Uniswapu likviditu, dostane ako „potvrdenie“ tokeny LP, ktoré reprezentujú jeho pozície. Jedná sa o štandardné ERC-721 tokeny, ktoré sú využívané napríklad aj pri NFT.

 

Phishingové útoky sú v súčasnosti pravdepodobne najrozšírenejšie

 

Dalo by sa povedať, že drvivá väčšina útokov (a nie len vo svete kryptomien) má jedného spoločného menovateľa – využívajú chamtivosť používateľov. Rovnako tomu bolo aj pri poslednom útoku na platforme Uniswap. Phishingový podvod sľuboval bezplatný airdrop 400 UNI tokenov (v hodnote približne 2 200 dolárov). Používatelia boli požiadaní, aby pripojili svoje elektronické peňaženky a prostredníctvom podpísania transakcie si nárokovali prijatie spomínaného airdropu.

 

Ako však môžete tušiť, realita vyzerala o niečo horšie. Pri podpise tejto transakcie v skutočnosti interagovali s podvodným smart kontraktoma útočníkovi tak prakticky odovzdali prístup k svojej peňaženke a samozrejme aj jej obsahu. Ak by ste si mysleli, že na podobný až trápne jednoduchý podvod nemôže naletieť mnoho ľudí, ste na veľkom omyle. S týmto smart kontraktom interagovalo až 74 000 elektronických peňaženiek a útočník tak za pomerne krátku chvíľu získal 7 500 ETH v hodnote približne 8 miliónov dolárov.

 

Nejednalo sa o chybu priamo na protokole Uniswap

 

Na vniknutú situáciu reagoval aj známy zakladateľ centralizovanej burzy Binance, Changpeng Zhao. Ten tvrdil, že pri útoku bol zneužitý priamo protokol Uniswap, čo sa však ukázalo ako klamstvo. Po objasnení okolností sa síce opravil a uznal, že samotný protokol je bezpečný, ale pri jeho počte sledovateľov (6 miliónov) by si mal na podobné vyjadrenia skutočne dávať väčší pozor.

 

Spoločnosť Uniswap Labs útok potvrdila a označila ho za „v súčasnosti až príliš bežný jav“. Napriek tomu, že bezpečnosť ich protokolu nebola priamo ohrozená, chcú sa zamerať na elimináciu podobných rizík, ktoré následne zbytočne odrádzajú ľudí od kryptomien. Zakladateľ Uniswapu Hayden Adams povedal, že okrem vzdelávania by sa dalo mnoho urobiť aj na úrovni používateľského rozhrania napríklad pri elektronických peňaženkách.

Používatelia by si však vo všeobecnosti mali dávať pozor najmä na rôzne senzačné ponuky a prísľuby rozprávkových ziskov, či kryptomien zadarmo. Ako sa hovorí – „zadarmo“ môže byť často to najdrahšie, na čo sa necháte nalákať. Väčšinou sa stačí zamyslieť nad tým, prečo by mi niekto dával niečo zdarma? Čo by z toho mal?

 

Podobné útoky môžeme sledovať aj mimo sveta kryptomien, kde ľudia odovzdávajú napríklad informácie o svojich platobných kartách, alebo dokonca priamo prístupy k elektronickému bankovníctvu. Útočníkom tak doslova otvárajú dvere a extrémne im uľahčujú ich „prácu“.

 

Zdroje:

decrypt.co, newsbtc.com, bitcoinist.com

Kontakt

Máte nejakú otázku? Spýtajte sa nás a čoskoro sa vám ozveme.

Vaše osobné údaje (email) budeme spracovávať len za týmto účelom v súlade s platnou legislatívou a zásadami ochrany osobných údajov. Súhlas potvrdíte kliknutím na odkaz, ktorý vám pošleme na váš email. Súhlas môžete kedykoľvek odvolať písomne, emailom alebo kliknutím na odkaz z ktoréhokoľvek informačného emailu.

Update cookies preferences