THORChain 是唯一的去中心化流动性网络 *
* 当前暂停。
但它即将成为最安全、唯一去中心化的流动性网络。
THORChads 现在疯狂地专注于解决这个问题。
他们提供。
– THORChain (@THORChain) 2021 年 7 月 27 日
首先,攻击者能够“欺骗” Bifrost 服务,该服务负责将节点连接到区块链并实施见证交易。
几天后,该协议再次遭受黑客攻击。 攻击者借助一份特殊合约,迫使 THORChain 使用的 Bifrost 协议接受虚假资产,并将其转化为真实资产。
还报告了另一种欺诈行为。 黑客在 7.6 万个以太坊地址中空投了 UniH 代币。 然而,推特账户 THORmaximalist 强烈建议忽略收到的代币,因为在随后的 Uniswap 交易所之前获得他们的批准后,合约清空了用户的钱包。
有人正在向 ETH 地址空投 UniH 代币。
忽略:不要在 UniSwap 上交易所它们。 如果你同意交易所,合约将耗尽你的钱包。
– THORchain.BULL (@THORmaximalist) 2021 年 7 月 23 日
项目令牌代码 (RUNE) 是使用 transferTo 函数生成的,使用 tx.origin 而不是 msg.sender。 ForkLog 智能合约开发人员 Alexei Matiyasevich 解释说,它允许任何合约在未经事先许可的情况下从用户那里收取费用:
“附加功能 transferTo 会从交易的原始发送方中删除余额,无论是谁申请的。 在这种情况下,用户向合约发送了一笔交易,合约名为 RUNE,余额被从用户那里提取。”
他指出,最简单的攻击方案是向所有 RUNE 持有者发送恶意代币,在 Uniswap 上添加一个与 ETH 配对的流动性矿池以创建代币的价格,然后等待用户尝试出售它们。
根据分析师 Sergei Nedashkovsky 的说法,共有 20,422 个 RUNE 从 9 个用户那里被盗:
“攻击方法调用了 22 个用户,但在攻击时只有 9 个用户具有正余额。”
社区发现 THORChain 团队更早知道使用 transferTo 的危险,但没有采取任何行动。
我见过的最愚蠢的事情之一 https://t.co/RQ6brLfj1t
– 伊戈尔·伊甘伯迪耶夫 (@FrankResearcher),2021 年 7 月 23 日
在宣布暂停工作之前,项目代表宣布添加额外的工具来防范攻击,同时补充说:
“THORChain永远不会受到攻击是不现实的,但这些工具可以确保减少损害。”
7 月初,黑客利用 ChainSwap 桥智能合约中的一个关键漏洞从 DeFi项目中提取了超过 400 万美元。
在 Telegram 上订阅 ForkLog 新闻:ForkLog Feed – 整个新闻提要,ForkLog – 最重要的新闻、信息K线走势图和观点。
发现文中有错误? 选择它并按 CTRL + ENTER
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
