Atacatorul creativ fură 76,000 USD în RUNE oferind jetoane gratuite

Un atac destul de viclean se desfășoară în criptosferă, unul care până acum a furat 76,000 de dolari în jetoane – și durează doar de câteva ore.

Pe scurt, un actor rău dă – sau aruncă în aer – jetoane diverși utilizatori de criptomonede. Ar putea părea bani gratis, dar este o capcană. Dacă destinatarii au cheltuit jetoanele, acesta poate permite făptuitorului să fure orice jetoane Thorchain (RUNE) pe care se întâmplă să le dețină.

“This is a unique exploit that has rarely been used in recent years. But since the attack is so underhanded, it could be quite effective,” explained The Block Research’s Eden Au.

Cum funcționează atacul

Ceea ce se întâmplă este că făptuitorul a trimis jetoane UniH la cel puțin 76,000 de adrese Ethereum. Intenția este ca destinatarii să vadă aceste jetoane gratuite și să încerce să le vândă pe un schimb descentralizat.

Dar aceste jetoane vin cu un contract rău intenționat. Și dacă persoana își vinde într-adevăr jetoanele UniH recent primite (sau chiar aprobă vânzarea lor), atunci făptuitorul poate, de asemenea, să fure orice jetoane RUNE pe care le deține în portofel.

Acest lucru se poate întâmpla deoarece jetoanele RUNE folosesc un contract de jetoane non-standard, numit „tx.origin”. Acest contract specific de token nu este utilizat în standardul de token ERC-20 - folosit de majoritatea token-urilor bazate pe Ethereum - din cauza riscurilor sale. 

Ceea ce se întâmplă este că token-urile UniH poartă cod rău intenționat care va transfera automat jetoanele RUNE ale utilizatorului într-un alt portofel (probabil deținut de autor) dacă este aprobat. 

Singurul lucru de care are nevoie este ca utilizatorul să „apeleze” contractul (adică să-l pună în mișcare). Dar dacă utilizatorul merge la un schimb descentralizat pentru a vinde jetoanele UniH, face exact asta - înlocuind automat token-urile RUNE.

Conform codului contractului de simbol RUNE al lui Thorchain, era conștient că acest tip de atac se putea întâmpla. „Atenție la contractele de phishing care ar putea fura jetoane prin interceptarea tx.origin”, spune acesta Statele, când se referă la aprobarea tranzacțiilor.

Această exploatare vine în aceeași zi în care Thorchain a suferit a treia exploatare intr-o luna. Rețeaua pentru rularea schimburilor în lanțuri încrucișate a pierdut acum un total de 13 milioane de dolari din cauza unei varietăți de erori. Susținătorii susțin că este încă într-un fel de formă beta – deși cu bani reali – și că sunt de așteptat erori; de aceea se referă cu afecțiune la rețea ca „Chaosnet”.

© 2021 The Block Crypto, Inc. Toate drepturile rezervate. Acest articol este furnizat doar în scop informativ. Nu este oferit sau intenționat să fie utilizat ca avize legale, fiscale, de investiții, financiare sau de altă natură.

Sursa: https://www.theblockcrypto.com/post/112339/creative-attacker-steals-76000-in-rune-by-giving-out-free-tokens?utm_source=rss&utm_medium=rss