Kẻ tấn công sáng tạo đánh cắp 76,000 đô la trong RUNE bằng cách phát mã thông báo miễn phí

Một cuộc tấn công khá xảo quyệt đang diễn ra trong thế giới tiền điện tử, một cuộc tấn công cho đến nay đã đánh cắp 76,000 đô la tiền mã thông báo - và nó chỉ mới diễn ra được vài giờ.

Nói tóm lại, kẻ xấu đang phát – hoặc airdrop – token cho nhiều người dùng tiền điện tử khác nhau. Điều này có vẻ giống như tiền miễn phí, nhưng đó là một cái bẫy. Nếu người nhận đã sử dụng mã thông báo, điều đó có thể cho phép thủ phạm đánh cắp bất kỳ mã thông báo Thorchain (RUNE) nào mà họ sở hữu.

“Đây là một cách khai thác độc đáo hiếm khi được sử dụng trong những năm gần đây. Nhưng vì cuộc tấn công quá ngầm nên nó có thể khá hiệu quả,” Eden Au của The Block Research giải thích.

Cuộc tấn công hoạt động như thế nào

Điều đang xảy ra là thủ phạm đã airdrop token UniH tới ít nhất 76,000 địa chỉ Ethereum. Mục đích là người nhận sẽ nhìn thấy những token miễn phí này và cố gắng bán chúng trên một sàn giao dịch phi tập trung.

Nhưng những token này đi kèm với một hợp đồng độc hại. Và nếu người đó thực sự bán mã thông báo UniH mới nhận được của họ (hoặc thậm chí chỉ chấp thuận bán chúng), thì thủ phạm cũng có thể đánh cắp bất kỳ mã thông báo RUNE nào mà họ sở hữu trong ví của họ.

Điều này có thể xảy ra vì token RUNE sử dụng hợp đồng token không chuẩn, được gọi là “tx.origin”. Hợp đồng mã thông báo cụ thể này không được sử dụng trong tiêu chuẩn mã thông báo ERC-20 — được sử dụng bởi hầu hết các mã thông báo dựa trên Ethereum — vì những rủi ro của nó. 

Điều xảy ra là mã thông báo UniH mang mã độc hại sẽ tự động chuyển mã thông báo RUNE của người dùng sang ví khác (có thể thuộc sở hữu của thủ phạm) nếu được chấp thuận. 

Điều duy nhất nó cần là người dùng “gọi” hợp đồng (tức là khởi động hợp đồng). Nhưng nếu người dùng đến một sàn giao dịch phi tập trung để bán mã thông báo UniH, thì sàn giao dịch đó sẽ thực hiện chính xác điều đó — tự động thay thế mã thông báo RUNE của họ.

Theo mã hợp đồng token RUNE của Thorchain, người ta biết rằng kiểu tấn công này có thể xảy ra. “Hãy cẩn thận với các hợp đồng lừa đảo có thể đánh cắp mã thông báo bằng cách chặn tx.origin,” nó tiểu bang, khi đề cập đến việc phê duyệt giao dịch.

Việc khai thác này diễn ra cùng ngày với Thorchain bị khai thác lần thứ ba trong một tháng. Mạng lưới chạy các giao dịch hoán đổi chuỗi chéo hiện đã thiệt hại tổng cộng 13 triệu USD do nhiều lỗi. Những người ủng hộ khẳng định rằng nó vẫn ở dạng beta - mặc dù bằng tiền thật - và có thể xảy ra lỗi; do đó tại sao họ trìu mến gọi mạng này là “Chaosnet”.

© 2021 Block Crypto, Inc. Mọi quyền được bảo lưu. Bài viết này được cung cấp cho mục đích thông tin. Nó không được cung cấp hoặc dự định được sử dụng như tư vấn pháp lý, thuế, đầu tư, tài chính hoặc tư vấn khác.

Nguồn: https://www.theblockcrypto.com/post/112339/creative-Attacker-steals-76000-in-rune-by-Thanks-out-free-tokens?utm_source=rss&utm_medium=rss