在几个小时前开始的攻击中,THORChain (RUNE) 代币的持有者损失了至少 76,000 美元。
攻击者将 UniH 代币发送到数千个地址,希望所有者尝试在去中心化交易所出售它们。 实际上,空投是一个陷阱,代币合约包含恶意代码。 如果你只是通过钱包中的 UniH 代币批准交易,黑客也可以提取其中的 RUNE。
“这是近年来很少使用的独特漏洞。 但是因为这种攻击非常聪明,所以它可以非常有效,“The Block 研究员 Eden Au 说。点击揭示……
RUNE 使用非标准的“tx.origin”代币合约。 由于固有风险,它不用于最常见的以太坊 ERC20 标准的其他代币。 当用户访问 UniH 合约时,他会自动批准撤回他的 RUNE。
“任何合约都可以窃取你所有的 RUNE,你甚至不需要批准或类似的东西,”Yearn.Finance项目的首席开发人员以昵称 banteg 写道。 – 在文档中 [языка программирования смарт-контрактов Ethereum] Solidity 的“transferTo”函数实际上只是一个不该做的事的例子。”点击展开…
RUNE 合约中的 THORChain 开发人员确实注意到了这种攻击向量的存在。
代码注释中写道:“谨防通过拦截 tx.origin 来窃取你的代币的网络钓鱼合约。单击以显示…
仅在这个晚上,THORChain 本身就遭受了黑客攻击,这是过去一个月中的第三次,在此期间由于各种错误总共损失了 1300 万美元。
“这是我们在开发过程中的选择。 一个合约不参考就不能偷RUNE,“THORChain开发者评测了这种情况。点击揭示……
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
