Milionový útok na decentralizovanou burzu Uniswap

Burzy jsou nezbytnou součástí kryptoměnového ekosystému a počet jejich uživatelů celosvětově rychle roste. Jsou oblíbeným cílem hackerských útoků, protože uživatelé se musí defacto vzdát vlastnictví kryptoměn a spoléhat se na bezpečnost platformy, aby je mohli používat. V průběhu několika let se tak při podobných útocích doslova vypařily stovky milionů dolarů. Decentralizované burzy přinesly změnu, která má oproti centralizovaným burzám několik výhod. Hlavní z nich je, že uživatelé obchodují přímo a nemusí platformě svěřovat své osobní údaje ani majetek. Obezřetnost je však důležitá i v této oblasti. 

Společnost Uniswap je jedním z lídrů v oblasti DEX

Tuto decentralizovanou směnárnu lze považovat za jednu z nejoblíbenějších na trhu díky široké škále služeb, které poskytuje. Součástí ekosystému je token UNI, který byl vytvořen v roce 2020 a umožňuje svým držitelům hlasovat a navrhovat změny v protokolu Uniswap. Platforma také nabízí možnost generovat pasivní příjem poskytováním likvidity pro burzovní obchodování v takzvaném Uniswap LP (Liquidity Pool). Pokud uživatel přidá likviditu do Uniswapu, obdrží jako "potvrzení" tokeny LP představující jeho pozice. Jedná se o standardní tokeny ERC-721, které se používají například i v NFT. 

Phishingové útoky jsou v současné době pravděpodobně nejrozšířenější.

Dá se říci, že naprostá většina útoků (a to nejen ve světě kryptoměn) má jednoho společného jmenovatele -  chamtivost uživatelů. Stejně tomu bylo i v případě posledního útoku na platformu Uniswap. Podvodný phishing sliboval bezplatné předání 400 tokenů UNI (v hodnotě přibližně 2 200 dolarů). Uživatelé byli požádáni, aby připojili své elektronické peněženky a prostřednictvím podepsané transakce požádali o přijetí výše zmíněného airdropu. Jak se však dalo předpokládat, skutečnost vypadala o něco hůře. Při podepisování této transakce ve skutečnosti komunikovali s podvodnou chytrou smlouvou, čímž útočníkovi fakticky předali přístup ke své peněžence a samozřejmě i k jejímu obsahu. Pokud jste si mysleli, že na podobný trapně jednoduchý podvod nemůže naletět mnoho lidí, jste na velkém omylu. S touto chytrou smlouvou interagovalo až 74 000 elektronických peněženek, což útočníkovi umožnilo v relativně krátké době získat 7 500 ETH v hodnotě přibližně 8 milionů dolarů.

Nejednalo se o chybu přímo v protokolu Uniswap.

Na událost reagoval také Changpeng Zhao, známý zakladatel centralizované burzy Binance. Tvrdil, že při útoku byl přímo zneužit protokol Uniswap, ale ukázalo se, že to byla lež. Po objasnění okolností se opravil a přiznal, že samotný protokol je bezpečný, ale s počtem svých sledujících (6 milionů) by si měl na taková prohlášení dávat větší pozor. Společnost Uniswap Labs útok potvrdila a označila ho za "v dnešní době až příliš častý jev". Přestože bezpečnost jejich protokolu nebyla přímo ohrožena, chtějí se zaměřit na eliminaci podobných rizik, která naopak lidi od kryptoměn zbytečně odrazují. Hayden Adams, zakladatel společnosti Uniswap, uvedl, že kromě vzdělávání lze mnoho udělat na úrovni uživatelského rozhraní, například v oblasti elektronických peněženek.

Obecně by si však uživatelé měli dávat pozor zejména na různé senzační nabídky a sliby pohádkových zisků nebo kryptoměn zdarma. Jak se říká - "zadarmo" může být často to nejdražší, na co se můžete nechat nalákat. Většinou se jen zamyslete, proč by mi někdo dával něco zadarmo? Co by z toho měli? Podobné útoky lze pozorovat i mimo svět kryptoměn, kde lidé předávají například údaje o svých platebních kartách nebo dokonce přímý přístup k elektronickému bankovnictví. To útočníkům doslova otevírá dveře a velmi jim usnadňuje "práci".

Zdroje: https://decrypt.co/, https://www.newsbtc.com/, https://bitcoinist.com/.