Το Creative Attacker κλέβει 76,000 $ σε RUNE δίνοντας δωρεάν μάρκες

Μια μάλλον πονηρή επίθεση διαδραματίζεται στην κρυπτόσφαιρα, μια επίθεση που μέχρι στιγμής έχει κλέψει 76,000 $ σε μάρκες — και έχει ξεκινήσει μόνο για λίγες ώρες.

Εν ολίγοις, ένας κακός ηθοποιός δίνει —ή ρίχνει — tokens σε διάφορους χρήστες κρυπτογράφησης. Αυτό μπορεί να φαίνεται σαν δωρεάν χρήματα, αλλά είναι μια παγίδα. Εάν οι παραλήπτες ξόδεψαν τα μάρκες, μπορεί να επιτρέψει στον δράστη να κλέψει τυχόν μάρκες Thorchain (RUNE) που τυχαίνει να κατέχουν.

«Πρόκειται για ένα μοναδικό κατόρθωμα που έχει χρησιμοποιηθεί σπάνια τα τελευταία χρόνια. Αλλά επειδή η επίθεση είναι τόσο κρυφή, θα μπορούσε να είναι αρκετά αποτελεσματική», εξήγησε ο Eden Au του The Block Research.

Πώς λειτουργεί η επίθεση

Αυτό που συμβαίνει είναι ότι ο δράστης ρίχνει μάρκες UniH σε τουλάχιστον 76,000 διευθύνσεις Ethereum. Η πρόθεση είναι ότι οι παραλήπτες θα δουν αυτά τα δωρεάν διακριτικά και θα προσπαθήσουν να τα πουλήσουν σε ένα αποκεντρωμένο χρηματιστήριο.

Αλλά αυτά τα διακριτικά συνοδεύονται από ένα κακόβουλο συμβόλαιο. Και αν το άτομο πράγματι πουλήσει τα κουπόνια UniH που έλαβε πρόσφατα (ή απλώς τα εγκρίνει να πουληθούν), τότε ο δράστης μπορεί επίσης να κλέψει τυχόν μάρκες RUNE που έχει στο πορτοφόλι του.

Αυτό μπορεί να συμβεί επειδή τα διακριτικά RUNE χρησιμοποιούν ένα μη τυποποιημένο συμβόλαιο διακριτικών, που ονομάζεται "tx.origin". Αυτό το συγκεκριμένο συμβόλαιο διακριτικών δεν χρησιμοποιείται στο πρότυπο διακριτικών ERC-20 — που χρησιμοποιείται από τα περισσότερα διακριτικά που βασίζονται στο Ethereum — λόγω των κινδύνων του. 

Αυτό που συμβαίνει είναι ότι τα διακριτικά UniH φέρουν κακόβουλο κώδικα που θα μεταφέρει αυτόματα τα διακριτικά RUNE του χρήστη σε άλλο πορτοφόλι (που πιθανώς ανήκει στον δράστη) εάν εγκριθεί. 

Το μόνο που χρειάζεται είναι να «καλέσει» ο χρήστης το συμβόλαιο (δηλαδή να το βάλει σε κίνηση). Αλλά αν ο χρήστης πάει σε ένα αποκεντρωμένο ανταλλακτήριο για να πουλήσει τα διακριτικά UniH, κάνει ακριβώς αυτό — εκτοπίζοντας αυτόματα τα κουπόνια RUNE του.

Σύμφωνα με τον κωδικό συμβολαίου RUNE του Thorchain, γνώριζε ότι αυτό το είδος επίθεσης θα μπορούσε να συμβεί. "Προσοχή στα συμβόλαια ηλεκτρονικού "ψαρέματος" που θα μπορούσαν να κλέψουν μάρκες παρεμποδίζοντας το tx.origin. κράτη, όταν αναφέρεται στην έγκριση συναλλαγών.

Αυτό το exploit έρχεται την ίδια μέρα με το Thorchain υπέστη το τρίτο του κατόρθωμα σε ένα μήνα. Το δίκτυο για την εκτέλεση ανταλλαγών πολλαπλών αλυσίδων έχει πλέον χάσει συνολικά 13 εκατομμύρια δολάρια λόγω μιας ποικιλίας σφαλμάτων. Οι υποστηρικτές υποστηρίζουν ότι είναι ακόμα σε μορφή beta — αν και με πραγματικά χρήματα — και ότι αναμένονται σφάλματα. Ως εκ τούτου, αναφέρουν στοργικά το δίκτυο ως "Chaosnet".

© 2021 The Block Crypto, Inc. Με επιφύλαξη παντός δικαιώματος. Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.

Πηγή: https://www.theblockcrypto.com/post/112339/creative-attacker-steals-76000-in-rune-by-giving-out-free-tokens?utm_source=rss&utm_medium=rss