昨天，币安创始人兼首席运行官赵长鹏透露，Uniswap V3 存在潜在漏洞，导致4,295 ETH被盗。

我们的威胁情报在 ETH 区块链上检测到 Uniswap V3 的潜在漏洞。到目前为止，黑客已经窃取了 4295 ETH，他们正在通过 Tornado Cash 进行洗钱。有人可以通知@Uniswap吗？我们可以提供帮助。谢谢https://t.co/OV3g7ayf77

— CZ 🔶 Binance (@cz_binance) 2022 年 7 月 11 日

4,295 ETH（以太坊）相当于约450 万美元，将通过Tornado Cash进行洗钱。

但是，这不会是实际黑客攻击或错误的结果，而是网络钓鱼活动的结果。

需要明确的是，这不是 Uniswap V3 漏洞利用。相反，这似乎是一次非常成功的网络钓鱼活动https://t.co/S7vWZmT1uW

- samczsun (@samczsun) 2022 年 7 月 11 日

什么是网络钓鱼？

网络钓鱼是一些骗子采用的一种技术，他们设法说服用户自愿提供登录凭据，通常冒充合法运营商。

最常用的网络钓鱼技术是一个虚假网站，它忠实地复制另一个网站，以诱使倒霉的一方输入他们的登录凭据，相信它是合法网站。

在这种特定情况下， Uniswap v3协议流动性提供者 (LP) 似乎是目标。根据一些社区成员的说法，损失可能比 CZ 强调的更大。

MetaMask 安全研究员 Harry Denley 提供了一种解释，他周一已经报告说，有 73,399 个地址被发送了一个恶意令牌，作为 UNI 空投（Uniswap 的治理令牌）假冒。

⚠️ 截至第 151,223,32 块，已有 73,399 个地址被发送恶意代币来瞄准他们的资产，假像是基于他们的 LP 的$UNI空投

活动开始于 ~2H 前
0xcf39b7793512f03f2893c16459fd72e65d2ed00c

抄送： @Uniswap @etherscan pic.twitter.com/5W51AikFuV

— harry.eth 🦊💙 (whg.eth) (@sniko_) 2022 年 7 月 11 日

假 Uniswap V3

恶意智能合约冒充这些代币的来源是“Uniswap V3: Positions NFT” ，而代币的名称又引回了与Uniswap无关的域名uniswaplp.com，而是冒充DEX 。

该网站随后要求用户将他们的真实代币发送到黑客的地址。周一， Denley指出，通过这种技术，黑客已经拥有了总计 30,000 美元的 ETH、ERC20 代币和 NFT 。

后来发现，创建假 NFT 的地址包含超过 16,000 个 ETH，或超过 1800 万美元。

大型 LP 是否被钓鱼？ https://t.co/3n6oruM8Hj

0x09b5 中的 v3 NFT 都来自这个钱包，里面有 16k ETH（1800 万美元）

- 西西弗斯 (@0xSisyphus) 2022 年 7 月 11 日

CZ本人后来不得不纠正他的第一条推文并表示这不是一个漏洞，证实了网络钓鱼攻击假设，承认Uniswap V3 协议是安全的，并道歉。

与@uniswap团队创建联系。该协议是安全的。

该攻击看起来像是来自网络钓鱼攻击。两队反应迅速。都好。对不起警报。

学会保护自己免受网络钓鱼。不要点击链接。 🙏 pic.twitter.com/FIXebz3iBC

— CZ 🔶 Binance (@cz_binance) 2022 年 7 月 11 日