发生的事情是肇事者一直在向至少 76,000 个以太坊地址空投 UniH 代币。目的是让接收者看到这些免费代币并尝试在去中心化交易所出售它们。
但是这些代币带有恶意合约。如果此人确实出售了他们新收到的 UniH 代币(甚至只是批准出售),那么犯罪者也可以窃取他们钱包中拥有的任何 RUNE 代币。
这是因为 RUNE 代币使用非标准代币合约,称为“tx.origin”。ERC-20 代币标准(大多数基于以太坊的代币使用)中未使用此特定代币合约,因为它存在风险。
发生的情况是,UniH 代币携带恶意代码,如果获得批准,该代码会自动将用户的 RUNE 代币转移到另一个钱包(可能为犯罪者所有)。
它唯一需要的是让用户“调用”合约(即启动它)。但是,如果用户去去中心化交易所出售 UniH 代币,它就是这样做的——自动替换他们的 RUNE 代币。
根据 Thorchain 的 RUNE 代币合约代码,它意识到可能会发生这种类型的攻击。“小心网络钓鱼的合同,可以通过拦截tx.origin偷令牌”,它指出,指的是交易的批准时。
