Uniswap V3流动资金池遭遇 络钓鱼攻击，已损失价值3278ETH的NFT头寸，约合3563644美元。

2022年7月14日消息，Uniswap V3流动资金池遭遇 络钓鱼攻击。

截至目前流动性提供者已经损失了价值3278ETH的NFT头寸，约合3563644美元。该攻击通过伪装成 UNI 空投发送恶意链接以试图让用户签名，总计攻击了大约 73,399 个地址。

黑客设法瞄准了 Uniswap v3 协议的流动性供应商，并实施了一场精心策划的 络钓鱼活动，迄今为止在攻击中损失了超过 800 万美元的 ETH。 Metamask 分析师 Harry Denley 是第一个检测到该攻击的人，并观察到 73,399 个地址被发送了一个名为 UniswapLP 的恶意令牌，并以假 UNI 令牌空投为借口将其资产作为攻击目标，这就是 Uniswap 遭受 络钓鱼攻击的方式。

发送给受害者的代币似乎来自合法的 Uniswap V: Positions NFT 合约，只需在区块链浏览器中操作 From 字段即可。 不良行为者托管的 站读取敏感的用户信息并从他们的钱包中窃取资金。 攻击背后的实体被认为是通过发送恶意令牌针对数千个地址的复杂攻击的一部分。 币安首席执行官赵长鹏推测，价值高达 470 万美元的 ETH 被盗走，但 MistTracker 数据显示，被盗金额达到 7500 ETH。

Uniswap Labs 的创建者证实，黑客设法冒充官方 站并欺骗 LP 提供商签署恶意交易，但该协议尚未被利用。 络钓鱼活动等 Web3 风格的攻击继续在 web3 空间中造成严重破坏，并且在 4 月份还检测到了大量冒充 STEPN 的 络钓鱼 站。 OpenSea 告了一次数据泄露事件，该事件影响了订阅邮件列表的客户的 PII，并警告客户这些 络钓鱼企图。

根据 CertiK 的 告， 络钓鱼攻击增加了 170%， 告强调 交媒体平台已成为这些项目的主要痛点：

“从 web3 安全的角度来看，这些黑客攻击令人沮丧的是，黑客正在部署 web2 久经考验的技巧，这些技巧利用中心化和人为错误作为起点，并利用它进行横向移动以依次利用 web3。 ”

正如早些时候 道的那样，Uniswap 实验室正在收购以太坊 NFT 平台 Genie，以期为 NFT 领域带来一些新的东西。

此次攻击为地址攻击，即黑客攻击改变 站内容（可能在转钱的一方 站或者在对手方计算机上部署恶意软件），将正确的地址改成自己的地址；

防范此类攻击应该有多种方法，用户白名单设置和测试传输方式应该可以比较有效。

测试传输：少量资金测试一下地址是否安全，使得在遭受地址攻击是损失减少。最重要的是验证地址的合法性和正确性。他的缺点是花费额外的gas费并且延长了交易的效率。

用户白名单：攻击者很难将自己的地址加入到交易所系统的白名单中，此种方法会减少恶意攻击的可能性。