Обмен электронных валют по самому выгодному курсу!
 


Kurbetsoft
Доступно в Google PlayDeFi-проект THORChain приостановил работу после серии хакерских атак

Команда протокола THORChain объявила о приостановке работы после нескольких хакерских атак.

В ходе первой злоумышленники смогли «обмануть» службу Bifrost, отвечающую за подключение нод к блокчейнам и реализацию транзакций-свидетелей (witness transactions).

Спустя несколько дней протокол вновь пострадал от действий хакеров. С помощью специального контракта злоумышленник заставил используемый THORChain протокол Bifrost принять фейковые активы, а вывел их уже в настоящих.

Также сообщалось об еще одном способе мошенничества. Хакеры провели эирдроп токенов UniH среди 76 тысяч Ethereum-адресов. Однако Twitter-аккаунт THORmaximalist настоятельно рекомендовал игнорировать полученные токены, так как после их одобрения перед последующим обменом на Uniswap контракт опустошал кошелек пользователя.

Код токена проекта (RUNE) создавался с функцией transferTo, использующей tx.origin вместо msg.sender. Она позволяет любому взаимодействовать с контрактом для ее передачи, отметил THORmaximalist.

«Дополнительная функция transferTo снимает баланс с оригинального отправителя транзакции вне зависимости от того, кто к ней обратился. В данном случае пользователь отправил транзакцию на контракт, контракт вызвал RUNE, а баланс снялся с пользователя», — объяснил ForkLog разработчик смарт-контрактов Алексей Матиясевич.

Он отметил, что самая простая схема атаки — разослать вредоносные токены всем держателям RUNE, добавить пул ликвидности на Uniswap в паре с ETH, чтобы создать цену для токенов, и ждать, когда пользователь попытается продать их.

Как сообщил аналитик Сергей Недашковский, всего похищено 20 422 RUNE у девяти пользователей:

«Атакующий метод вызвало 22 пользователя, но только у девяти был положительный баланс на момент атаки».

В сообществе обнаружили, что команда THORChain знала об опасности использования transferTo ранее, однако ничего не предприняла.

Перед объявлением о приостановке работы представители проекта анонсировали добавление дополнительных инструментов для защиты от атак, при этом добавив:

«Нереалистично, что THORChain когда-либо не будет подвергаться атакам, но эти инструменты гарантируют, что ущерб от них снизится».

Ранее в июле хакеры воспользовались критической уязвимостью в смарте-контракте межсетевого моста ChainSwap и вывели из DeFi-проектов более $4 млн.

Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости, инфографика и мнения.




[vkontakte] [facebook] [twitter] [odnoklassniki] [mail.ru] [livejournal]

Каталог сайтов