מיליוני דולרים נשדדו השבוע מהמוני משתמשים בפלטפורמת הקריפטו Uniswap, באחד משודי הקריפטו המתוחכמים ביותר שראינו – דווקא מהסיבה שהביצוע שלו לא דרש מהנוכל להיות האקר מתקדם במיוחד, אלא רק להשקיע מעט מחשבה ויצירתיות.

הראשון להתריע על השוד בפומבי היה צַ'ינגפֶּנג גַ'אוֹ, מייסד ומנכ"ל בורסת הקריפטו הגדולה בעולם – ביננס. מעט אחרי חצות שבין יום ראשון לשני לפי שעון ישראל, הוא הזהיר בטוויטר כי "מודיעין האיומים שלנו איתר פרצה אפשרית ב-Uniswap V3 על הבלוקצ'יין של את'ריום. ההאקר גנב 4,295 את'ר עד כה, והם מולבנים באמצעות Tornado Cash".

לאחר מעשה הסבירו עודד ואנונו, דיקלה ברדא ורומן זאיקין מענקית הסייבר הישראלית צ'קפוינט כי השודד יצר מטבע מזויף, שהוצג באופן שנראה אמין יחסית, כאילו מדובר במטבע חדש של יוניסוואפ עצמו. הוא השקיע לא פחות מ-8.5 את'ר – שהם כ-10,000 דולר – בעמלות להעברה של המטבעות המזויפים לארנקים של 73,399 משתמשי יוניסוואפ. המטבעות המזויפים לוו בהודעה למשתמשים אליהם הגיעו, לפיה מדובר במטבעות שניתנים להחלפה במטבע הרשמי של יוניסוואפ בלחיצה על קישור.

הקישור פתח הודעת הסבר, שנשמעה די הגיונית, והסבירה למשתמשים שיוניסוואפ החליטה לתת מענקים למשתמשים שמספקים כסף לגיבוי המטבע שלה. כל מה שצריך לעשות כדי לממש את הזכאות למטבעות חינם הוא ללחוץ על כפתור "Claim". אלא שבפועל, הכפתור הזה שלח פקודה לארנק שאליו נשלחו המטבעות המזויפים, שמצווה עליו להעביר את כל תכולתו לארנק של השודד.

תוך זמן קצר הצליח השודד להפיל בפח לא מעט משתמשים ולגנוב מהם כ-7,574 מטבעות את'ר, ששוויים 8.8 מיליון דולר, שרובם המוחלט הועבר תוך זמן קצר לשירות הלבנת כספי קריפטו בשם Tornado Cash, במטרה להקשות על מעקב אחר מסלול הכסף.

עוד ב-

השיא השלילי החדש בשודי קריפטו, והאור בקצה המנהרה

לכתבה המלאה

יוניסוואפ, מצידה, פרסמה שרשור ציוצים בו כתבה: "נבהיר: לא היתה פריצה. הפרוטוקול תמיד היה – ונשאר – בטוח", והוסיפה כי "מתקפות כגון זו עלולות לקרות בכל זמן ובכל פלטפורמה, ואנו מעודדים אתכם לשמור על עירנות כשאתם מתקשרים עם כל חוזה". החשבון המליץ למשתמשים לבדוק תמיד את כתובת האתר אליו הם מופנים כדי לקבל מענקים, וחברי הצוות של צ'קפוינט הוסיפו גם המלצות לעקוב אחר חשבונות ואתרים רשמיים של פלטפורמות קריפטו שבהן משתמשים, כדי לדעת מתי יש – ובעיקר מתי אין – חלוקה של מענקים כאלה.