昨天，幣安創始人兼首席執行官趙長鵬透露，Uniswap V3 存在潛在漏洞，導致4,295 ETH被盜。

我們的威脅情報在 ETH 區塊鏈上檢測到 Uniswap V3 的潛在漏洞。到目前為止，黑客已經竊取了 4295 ETH，他們正在通過 Tornado Cash 進行洗錢。有人可以通知@Uniswap嗎？我們可以提供幫助。謝謝https://t.co/OV3g7ayf77

— CZ 🔶 Binance (@cz_binance) 2022 年 7 月 11 日

4,295 ETH（以太坊）相當於約450 萬美元，將通過Tornado Cash進行洗錢。

但是，這不會是實際黑客攻擊或錯誤的結果，而是網絡釣魚活動的結果。

需要明確的是，這不是 Uniswap V3 漏洞利用。相反，這似乎是一次非常成功的網絡釣魚活動https://t.co/S7vWZmT1uW

- samczsun (@samczsun) 2022 年 7 月 11 日

什麼是網絡釣魚？

網絡釣魚是一些騙子採用的一種技術，他們設法說服用戶自願提供登錄憑據，通常冒充合法運營商。

最常用的網絡釣魚技術是一個虛假網站，它忠實地複制另一個網站，以誘使倒霉的一方輸入他們的登錄憑據，相信它是合法網站。

在這種特定情況下， Uniswap v3協議流動性提供者 (LP) 似乎是目標。根據一些社區成員的說法，損失可能比 CZ 強調的更大。

MetaMask 安全研究員 Harry Denley 提供了一種解釋，他週一已經報告說，有 73,399 個地址被發送了一個惡意令牌，作為 UNI 空投（Uniswap 的治理令牌）假冒。

⚠️ 截至第 151,223,32 塊，已有 73,399 個地址被發送惡意代幣來瞄准他們的資產，假像是基於他們的 LP 的$UNI空投

活動開始於 ~2H 前
0xcf39b7793512f03f2893c16459fd72e65d2ed00c

抄送： @Uniswap @etherscan pic.twitter.com/5W51AikFuV

— harry.eth 🦊💙 (whg.eth) (@sniko_) 2022 年 7 月 11 日

假 Uniswap V3

惡意智能合約冒充這些代幣的來源是“Uniswap V3: Positions NFT” ，而代幣的名稱又引回了與Uniswap無關的域名uniswaplp.com，而是冒充DEX 。

該網站隨後要求用戶將他們的真實代幣發送到黑客的地址。週一， Denley指出，通過這種技術，黑客已經擁有了總計 30,000 美元的 ETH、ERC20 代幣和 NFT 。

後來發現，創建假 NFT 的地址包含超過 16,000 個 ETH，或超過 1800 萬美元。

大型 LP 是否被釣魚？ https://t.co/3n6oruM8Hj

0x09b5 中的 v3 NFT 都來自這個錢包，裡面有 16k ETH（1800 萬美元）

- 西西弗斯 (@0xSisyphus) 2022 年 7 月 11 日

CZ本人後來不得不糾正他的第一條推文並表示這不是一個漏洞，證實了網絡釣魚攻擊假設，承認Uniswap V3 協議是安全的，並道歉。

與@uniswap團隊建立聯繫。該協議是安全的。

該攻擊看起來像是來自網絡釣魚攻擊。兩隊反應迅速。都好。對不起警報。

學會保護自己免受網絡釣魚。不要點擊鏈接。 🙏 pic.twitter.com/FIXebz3iBC

— CZ 🔶 Binance (@cz_binance) 2022 年 7 月 11 日