Une attaque plutôt sournoise se déroule dans la cryptosphère, qui a jusqu’à présent volé 76,000 XNUMX $ de jetons – et cela ne dure que quelques heures.
En bref, un mauvais acteur distribue – ou parachute – des jetons à divers utilisateurs de crypto. Cela peut ressembler à de l’argent gratuit, mais c’est un piège. Si les destinataires ont dépensé les jetons, cela peut permettre à l'auteur de voler tous les jetons Thorchain (RUNE) qu'ils possèdent.
« Il s’agit d’un exploit unique qui a rarement été utilisé ces dernières années. Mais comme l'attaque est si sournoise, elle pourrait être très efficace », a expliqué Eden Au de The Block Research.
Comment fonctionne l'attaque
Ce qui se passe, c’est que l’auteur a largué des jetons UniH vers au moins 76,000 XNUMX adresses Ethereum. L'intention est que les destinataires voient ces jetons gratuits et tentent de les vendre sur un échange décentralisé.
Mais ces jetons sont accompagnés d’un contrat malveillant. Et si la personne vend effectivement ses jetons UniH nouvellement reçus (ou même approuve simplement leur vente), alors l'auteur peut également voler tous les jetons RUNE qu'il possède dans son portefeuille.
Cela est possible car les jetons RUNE utilisent un contrat de jeton non standard, appelé « tx.origin ». Ce contrat de jeton spécifique n'est pas utilisé dans la norme de jeton ERC-20 – utilisée par la plupart des jetons basés sur Ethereum – en raison de ses risques.
Ce qui se passe, c’est que les jetons UniH contiennent un code malveillant qui transférera automatiquement les jetons RUNE de l’utilisateur vers un autre portefeuille (vraisemblablement détenu par l’auteur) s’il est approuvé.
La seule chose dont il a besoin est que l’utilisateur « appelle » le contrat (c’est-à-dire le mette en mouvement). Mais si l’utilisateur se rend sur un échange décentralisé pour vendre les jetons UniH, c’est exactement ce qu’il fait : il remplace automatiquement ses jetons RUNE.
Selon le code contractuel du jeton RUNE de Thorchain, il était conscient que ce type d’attaque pouvait se produire. "Méfiez-vous des contrats de phishing qui pourraient voler des jetons en interceptant tx.origin", dit-il. Etats, lorsqu'il s'agit de l'approbation des transactions.
Cet exploit survient le même jour que Thorchain a subi son troisième exploit dans un mois. Le réseau permettant d'effectuer des échanges entre chaînes a maintenant perdu un total de 13 millions de dollars en raison de divers bugs. Les partisans soutiennent qu’il s’agit toujours d’une sorte de version bêta – bien qu’avec de l’argent réel – et que des bugs sont attendus ; c’est pourquoi ils appellent affectueusement le réseau « Chaosnet ».
© 2021 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
- "
- 000
- 9
- conseils
- Tous
- article
- bêta
- bogues
- code
- contrat
- contrats
- droit d'auteur
- Conception
- Crypto
- journée
- Décentralisé
- Échange décentralisé
- Efficace
- ERC-20
- Ethereum
- échange
- Exploiter
- la traduction de documents financiers
- formulaire
- Gratuit
- Don
- HTTPS
- Inc
- un investissement
- IT
- Légal
- million
- de l'argent
- réseau et
- Autre
- phishing
- pour le running
- vendre
- set
- Shorts
- So
- vendu
- volé
- impôt
- jeton
- Tokens
- Transactions
- utilisateurs
- Wallet
- années
