Креативний зловмисник викрадає 76,000 XNUMX доларів у RUNE, роздаючи безкоштовні токени

У криптосфері відбувається досить підступна атака, яка наразі вкрала токени на 76,000 XNUMX доларів — і це триває лише кілька годин.

Коротше кажучи, поганий актор роздає — або роздає — токени різним користувачам криптовалюти. Це може здатися безкоштовними грошима, але це пастка. Якщо одержувачі витратили токени, це може дозволити зловмиснику вкрасти будь-які токени Thorchain (RUNE), якими вони володіють.

«Це унікальний експлойт, який рідко використовувався останніми роками. Але оскільки атака настільки підступна, вона може бути досить ефективною», — пояснив Іден Ау з The Block Research.

Як працює атака

Справа в тому, що зловмисник розсилав токени UniH щонайменше на 76,000 XNUMX адрес Ethereum. Намір полягає в тому, щоб одержувачі побачили ці безкоштовні токени та спробували продати їх на децентралізованій біржі.

Але ці токени постачаються зі зловмисним контрактом. І якщо особа справді продає свої щойно отримані токени UniH (або навіть просто схвалює їх продаж), тоді злочинець також може вкрасти будь-які токени RUNE, які вони мають у своєму гаманці.

Це може статися через те, що токени RUNE використовують нестандартний контракт токенів, який називається «tx.origin». Цей конкретний контракт токенів не використовується в стандарті токенів ERC-20, який використовується більшістю токенів на основі Ethereum, через його ризики. 

Що відбувається, так це те, що токени UniH несуть шкідливий код, який автоматично переносить токени користувача RUNE в інший гаманець (імовірно, що належить зловмиснику), якщо буде схвалено. 

Єдине, що йому потрібно, це щоб користувач «викликав» контракт (тобто запустив його). Але якщо користувач переходить на децентралізовану біржу, щоб продати токени UniH, вона робить саме це — автоматично замінює його токени RUNE.

Відповідно до коду контракту токена RUNE від Thorchain, було відомо, що такий тип атаки може статися. «Остерігайтеся фішингових контрактів, які можуть викрасти токени шляхом перехоплення tx.origin». держав, коли йдеться про схвалення правочинів.

Цей експлойт з’являється в той самий день, що й Thorchain зазнав свого третього подвигу через місяць. Мережа для виконання міжланцюжкових свопів зараз втратила загалом 13 мільйонів доларів через різноманітні помилки. Прихильники стверджують, що він все ще знаходиться в певній бета-версії — хоча і з реальними грошима — і що очікуються помилки; тому вони ніжно називають мережу «Chaosnet».

© 2021 The Block Crypto, Inc. Всі права захищені. Ця стаття надана лише в інформаційних цілях. Він не пропонується або не може використовуватися як юридична, податкова, інвестиційна, фінансова чи інша порада.

Джерело: https://www.theblockcrypto.com/post/112339/creative-attacker-steals-76000-in-rune-by-giving-out-free-tokens?utm_source=rss&utm_medium=rss