DeFi-проект THORChain приостановил работу после серии хакерских атак

Команда протокола THORChain объявила о приостановке работы после нескольких хакерских атак.

THORChain is the only decentralised liquidity network*

*currently paused.

But it’s about to become the most secure, only decentralised liquidity network.

THORChads are insanely focussed right now on nailing this.

And they deliver.

— THORChain (@THORChain) July 27, 2021

В ходе первой злоумышленники смогли «обмануть» службу Bifrost, отвечающую за подключение нод к блокчейнам и реализацию транзакций-свидетелей (witness transactions).

Спустя несколько дней протокол вновь пострадал от действий хакеров. С помощью специального контракта злоумышленник заставил используемый THORChain протокол Bifrost принять фейковые активы, а вывел их уже в настоящих.

Также сообщалось об еще одном способе мошенничества. Хакеры провели эирдроп токенов UniH среди 76 тысяч Ethereum-адресов. Однако Twitter-аккаунт THORmaximalist настоятельно рекомендовал игнорировать полученные токены, так как после их одобрения перед последующим обменом на Uniswap контракт опустошал кошелек пользователя.

Someone is airdropping UniH tokens to ETH adresses.

Just ignore : do not exchange them on UniSwap. If you approve it for swaping, the contract will drain your wallet.

— THORchain.BULL (@THORmaximalist) July 23, 2021

Код токена проекта (RUNE) создавался с функцией transferTo, использующей tx.origin вместо msg.sender. Она позволяет любому взаимодействовать с контрактом для ее передачи, отметил THORmaximalist.

«Дополнительная функция transferTo снимает баланс с оригинального отправителя транзакции вне зависимости от того, кто к ней обратился. В данном случае пользователь отправил транзакцию на контракт, контракт вызвал RUNE, а баланс снялся с пользователя», — объяснил ForkLog разработчик смарт-контрактов Алексей Матиясевич.

Он отметил, что самая простая схема атаки — разослать вредоносные токены всем держателям RUNE, добавить пул ликвидности на Uniswap в паре с ETH, чтобы создать цену для токенов, и ждать, когда пользователь попытается продать их.

Как сообщил аналитик Сергей Недашковский, всего похищено 20 422 RUNE у девяти пользователей:

«Атакующий метод вызвало 22 пользователя, но только у девяти был положительный баланс на момент атаки».

В сообществе обнаружили, что команда THORChain знала об опасности использования transferTo ранее, однако ничего не предприняла.

One of the dumbest things I’ve seen https://t.co/RQ6brLfj1t

— Igor Igamberdiev (@FrankResearcher) July 23, 2021

Перед объявлением о приостановке работы представители проекта анонсировали добавление дополнительных инструментов для защиты от атак, при этом добавив:

«Нереалистично, что THORChain когда-либо не будет подвергаться атакам, но эти инструменты гарантируют, что ущерб от них снизится».

Ранее в июле хакеры воспользовались критической уязвимостью в смарте-контракте межсетевого моста ChainSwap и вывели из DeFi-проектов более $4 млн.

Источник: forklog.com