forklog.com
Команда протокола THORChain объявила о приостановке работы после нескольких хакерских атак.
THORChain is the only decentralised liquidity network*
— THORChain (@THORChain) July 27, 2021
*currently paused.
But it's about to become the most secure, only decentralised liquidity network.
THORChads are insanely focussed right now on nailing this.
And they deliver.
В ходе первой злоумышленники смогли «обмануть» службу Bifrost, отвечающую за подключение нод к блокчейнам и реализацию транзакций-свидетелей (witness transactions).
Спустя несколько дней протокол вновь пострадал от действий хакеров. С помощью специального контракта злоумышленник заставил используемый THORChain протокол Bifrost принять фейковые активы, а вывел их уже в настоящих.
Также сообщалось об еще одном способе мошенничества. Хакеры провели эирдроп токенов UniH среди 76 тысяч Ethereum-адресов. Однако Twitter-аккаунт THORmaximalist настоятельно рекомендовал игнорировать полученные токены, так как после их одобрения перед последующим обменом на Uniswap контракт опустошал кошелек пользователя.
Someone is airdropping UniH tokens to ETH adresses.
— THORchain.BULL (@THORmaximalist) July 23, 2021
Just ignore : do not exchange them on UniSwap. If you approve it for swaping, the contract will drain your wallet.
Код токена проекта (RUNE) создавался с функцией transferTo, использующей tx.origin вместо msg.sender. Она позволяет любому взаимодействовать с контрактом для ее передачи, отметил THORmaximalist.
«Дополнительная функция transferTo снимает баланс с оригинального отправителя транзакции вне зависимости от того, кто к ней обратился. В данном случае пользователь отправил транзакцию на контракт, контракт вызвал RUNE, а баланс снялся с пользователя», — объяснил ForkLog разработчик смарт-контрактов Алексей Матиясевич.
Он отметил, что самая простая схема атаки — разослать вредоносные токены всем держателям RUNE, добавить пул ликвидности на Uniswap в паре с ETH, чтобы создать цену для токенов, и ждать, когда пользователь попытается продать их.
Как сообщил аналитик Сергей Недашковский, всего похищено 20 422 RUNE у девяти пользователей:
«Атакующий метод вызвало 22 пользователя, но только у девяти был положительный баланс на момент атаки».
В сообществе обнаружили, что команда THORChain знала об опасности использования transferTo ранее, однако ничего не предприняла.
One of the dumbest things I've seen https://t.co/RQ6brLfj1t
— Igor Igamberdiev (@FrankResearcher) July 23, 2021
Перед объявлением о приостановке работы представители проекта анонсировали добавление дополнительных инструментов для защиты от атак, при этом добавив:
«Нереалистично, что THORChain когда-либо не будет подвергаться атакам, но эти инструменты гарантируют, что ущерб от них снизится».
Ранее в июле хакеры воспользовались критической уязвимостью в смарте-контракте межсетевого моста ChainSwap и вывели из DeFi-проектов более $4 млн.