Хакер изобретательно украл $76 000 у держателей токенов RUNE. Что такое UniH

Злоумышленник разослал токены UniH на тысячи адресов в расчете на то, что владельцы попытаются продать их на децентрализованных биржах. В действительности эирдроп является ловушкой, а контракт токена содержит вредоносный код. Если просто одобрить транзакции с токенами UniH в своем кошельке, хакер также сможет вывести находящиеся в нем RUNE. «Это уникальный эксплойт, редко использовавшийся в последние годы. Но, поскольку атака настолько хитроумная, она может оказаться довольно эффективной», – отметил исследователь The Block Эден Ау.Нажмите, чтобы раскрыть… RUNE использует нестандартный контракт токена «tx.origin». Он не задействован в других токенах самого распространенного стандарта Ethereum ERC20 из-за присущих рисков. Когда пользователь обращается к контракту UniH, он автоматически одобряет вывод своих RUNE. «Любой контракт может украсть все ваши RUNE, не нужно даже одобрений или чего-то подобного, – пишет ведущий разработчик проекта Yearn.Finance под ником banteg. – В документации [языка программирования смарт-контрактов Ethereum] Solidity функция “transferTo” буквально приводится в качестве примера того, чего делать не следует».Нажмите, чтобы раскрыть… Разработчики THORChain в контракте RUNE действительно отмечали присутствие подобного вектора атаки. «Опасайтесь фишинговых контрактов, которые могут украсть ваши токены при помощи перехвата tx.origin», – говорится в комментариях к коду.Нажмите, чтобы раскрыть… Только этой ночью THORChain сам подвергся хакерской атаке, третьей за последний месяц, в общей сложности потеряв за это время $13 млн из-за различных багов. «Это было нашим выбором в процессе разработки. Контракт не сможет украсть RUNE, если вы не будете обращаться к нему», – прокомментировали ситуацию разработчики THORChain.Нажмите, чтобы раскрыть…