Atacante criativo rouba $ 76,000 em RUNE ao distribuir tokens grátis

Um ataque bastante astuto está ocorrendo na criptosfera, que até agora roubou US$ 76,000 em tokens – e está em andamento há apenas algumas horas.

Resumindo, um mau ator está distribuindo – ou lançando – tokens para vários usuários de criptografia. Isso pode parecer dinheiro de graça, mas é uma armadilha. Se os destinatários gastarem os tokens, isso pode permitir que o perpetrador roube quaisquer tokens Thorchain (RUNE) que possua.

“Esta é uma exploração única que raramente tem sido usada nos últimos anos. Mas como o ataque é tão dissimulado, pode ser bastante eficaz”, explicou Eden Au, do The Block Research.

Como funciona o ataque

O que está acontecendo é que o perpetrador lançou tokens UniH para pelo menos 76,000 endereços Ethereum. A intenção é que os destinatários vejam esses tokens gratuitos e tentem vendê-los em uma exchange descentralizada.

Mas esses tokens vêm com um contrato malicioso. E se a pessoa realmente vender seus tokens UniH recém-recebidos (ou apenas aprovar sua venda), o perpetrador também poderá roubar quaisquer tokens RUNE que possua em sua carteira.

Isso pode acontecer porque os tokens RUNE usam um contrato de token não padrão, chamado “tx.origin”. Este contrato de token específico não é usado no padrão de token ERC-20 – usado pela maioria dos tokens baseados em Ethereum – devido aos seus riscos. 

O que acontece é que os tokens UniH carregam código malicioso que transferirá automaticamente os tokens RUNE do usuário para outra carteira (presumivelmente de propriedade do perpetrador), se aprovado. 

A única coisa necessária é que o usuário “ligue” o contrato (ou seja, coloque-o em ação). Mas se o usuário for a uma exchange descentralizada para vender os tokens UniH, ele fará exatamente isso – substituindo automaticamente seus tokens RUNE.

De acordo com o código de contrato do token RUNE da Thorchain, ela estava ciente de que esse tipo de ataque poderia acontecer. “Cuidado com os contratos de phishing que podem roubar tokens ao interceptar tx.origin”, disse estados, quando se refere à aprovação de transações.

Esta exploração surge no mesmo dia em que Thorchain sofreu sua terceira façanha em um mês. A rede para execução de swaps entre cadeias perdeu agora um total de US$ 13 milhões devido a uma variedade de bugs. Os defensores afirmam que ainda está em uma espécie de versão beta – embora com dinheiro real – e que bugs são esperados; daí porque eles se referem afetuosamente à rede como “Chaosnet”.

© 2021 The Block Crypto, Inc. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou deve ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.

Fonte: https://www.theblockcrypto.com/post/112339/creative-attacker-steals-76000-in-rune-by-giving-out-free-tokens?utm_source=rss&utm_medium=rss