Хакер изобретательно украл $76 000 у держателей токенов RUNE. Что такое UniH

Хакер изобретательно украл $76 000 у держателей токенов RUNE. Что такое UniH

23.07.2021
0
Евгений Петлин

Держатели токенов THORChain (RUNE) потеряли по крайней мере $76 000 в ходе начавшейся несколько часов назад атаки.

Злоумышленник разослал токены UniH на тысячи адресов в расчете на то, что владельцы попытаются продать их на децентрализованных биржах. В действительности эирдроп является ловушкой, а контракт токена содержит вредоносный код. Если просто одобрить транзакции с токенами UniH в своем кошельке, хакер также сможет вывести находящиеся в нем RUNE.

«Это уникальный эксплойт, редко использовавшийся в последние годы. Но, поскольку атака настолько хитроумная, она может оказаться довольно эффективной», – отметил исследователь The Block Эден Ау.

RUNE использует нестандартный контракт токена «tx.origin». Он не задействован в других токенах самого распространенного стандарта Ethereum ERC20 из-за присущих рисков. Когда пользователь обращается к контракту UniH, он автоматически одобряет вывод своих RUNE.

«Любой контракт может украсть все ваши RUNE, не нужно даже одобрений или чего-то подобного, – пишет ведущий разработчик проекта Yearn.Finance под ником banteg. – В документации [языка программирования смарт-контрактов Ethereum] Solidity функция “transferTo” буквально приводится в качестве примера того, чего делать не следует».

Разработчики THORChain в контракте RUNE действительно отмечали присутствие подобного вектора атаки.

«Опасайтесь фишинговых контрактов, которые могут украсть ваши токены при помощи перехвата tx.origin», – говорится в комментариях к коду.

Только этой ночью THORChain сам подвергся хакерской атаке, третьей за последний месяц, в общей сложности потеряв за это время $13 млн из-за различных багов.

«Это было нашим выбором в процессе разработки. Контракт не сможет украсть RUNE, если вы не будете обращаться к нему», – прокомментировали ситуацию разработчики THORChain.

Подписаться
Уведомить о
0 Комментарий
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x