L’équipe du protocole THORChain a annoncé une suspension après plusieurs attaques de pirates.
THORChain is the only decentralised liquidity network*
— THORChain #BRINGBACKMCCN (@THORChain) July 27, 2021
*currently paused.
But it’s about to become the most secure, only decentralised liquidity network.
THORChads are insanely focussed right now on nailing this.
And they deliver.
Dans le premier, les attaquants ont pu « tromper » le service Bifrost, qui est responsable de la connexion des nœuds aux blockchains et de la mise en œuvre des transactions témoins.
Quelques jours plus tard, le protocole a de nouveau souffert des hackers. À l’aide d’un contrat spécial, l’attaquant a forcé le protocole Bifrost utilisé par THORChain à accepter de faux actifs et à les transformer en véritables.
Un autre type de fraude a également été signalé. Les pirates ont effectué un largage de jetons UniH parmi 76 000 adresses Ethereum. Cependant, le compte Twitter THORmaximalist a fortement recommandé d’ignorer les jetons reçus, car après leur approbation avant l’échange ultérieur contre Uniswap, le contrat a vidé le portefeuille de l’utilisateur.
Someone is airdropping UniH tokens to ETH adresses.
— THORchain.BULL (@THORmaximalist) July 23, 2021
Just ignore : do not exchange them on UniSwap. If you approve it for swaping, the contract will drain your wallet.
Le code du jeton du projet (RUNE) a été généré avec la fonction transferTo en utilisant tx.origin au lieu de msg.sender. Il permet à tout contrat de recevoir le paiement de l’utilisateur sans autorisation préalable.
« La fonction supplémentaire transferTo supprime le solde de l’expéditeur d’origine de la transaction, quelle que soit la personne qui l’a sollicité. Dans ce cas, l’utilisateur a envoyé une transaction au contrat, le contrat appelé RUNE, et le solde a été retiré de l’utilisateur. “
Il a noté que le schéma d’attaque le plus simple consiste à envoyer des jetons malveillants à tous les détenteurs de RUNE, à ajouter un pool de liquidités sur Uniswap associé à ETH pour créer un prix pour les jetons et à attendre que l’utilisateur essaie de les vendre.