Хакерские атаки вынудили DeFi-проект THORChain приостановить работу

Команда протокола THORChain объявила о приостановке работы после нескольких хакерских атак.

THORChain is the only decentralised liquidity network*

*currently paused.

But it’s about to become the most secure, only decentralised liquidity network.

THORChads are insanely focussed right now on nailing this.

And they deliver.

— THORChain #BRINGBACKMCCN (@THORChain) July 27, 2021

В ходе первой злоумышленники смогли «обмануть» службу Bifrost, отвечающую за подключение нод к блокчейнам и реализацию транзакций-свидетелей (witness transactions).

Спустя несколько дней протокол вновь пострадал от действий хакеров. С помощью специального контракта злоумышленник заставил используемый THORChain протокол Bifrost принять фейковые активы, а вывел их уже в настоящих.

Также сообщалось об еще одном способе мошенничества. Хакеры провели эирдроп токенов UniH среди 76 тысяч Ethereum-адресов. Однако Twitter-аккаунт THORmaximalist настоятельно рекомендовал игнорировать полученные токены, так как после их одобрения перед последующим обменом на Uniswap контракт опустошал кошелек пользователя.

Someone is airdropping UniH tokens to ETH adresses.

Just ignore : do not exchange them on UniSwap. If you approve it for swaping, the contract will drain your wallet.

— THORchain.BULL (@THORmaximalist) July 23, 2021

Код токена проекта (RUNE) создавался с функцией transferTo, использующей tx.origin вместо msg.sender. Она позволяет любому контракту брать оплату с пользователя без предварительного разрешения, объяснил ForkLog разработчик смарт-контрактов Алексей Матиясевич:

Он отметил, что самая простая схема атаки — разослать вредоносные токены всем держателям RUNE, добавить пул ликвидности на Uniswap в паре с ETH, чтобы создать цену для токенов, и ждать, когда пользователь попытается продать их.

Как сообщил аналитик Сергей Недашковский, всего похищено 20 422 RUNE у девяти пользователей:

В сообществе обнаружили, что команда THORChain знала об опасности использования transferTo ранее, однако ничего не предприняла.

One of the dumbest things I’ve seen https://t.co/RQ6brLfj1t

— Igor Igamberdiev (@FrankResearcher) July 23, 2021

Перед объявлением о приостановке работы представители проекта анонсировали добавление дополнительных инструментов для защиты от атак, при этом добавив:

Ранее в июле хакеры воспользовались критической уязвимостью в смарте-контракте межсетевого моста ChainSwap и вывели из DeFi-проектов более $4 млн.

Источник: cryptocurrency.tech