Według raportu z sekcji zwłok opublikowanego przez zespół na oficjalnym kanale Discord projektu 17 lutego, wielołańcuchowy agregator giełd Dexible został naruszony przez exploit, w wyniku czego skradziono bitcoiny o wartości 2 milionów dolarów.
Od 17 lutego, o 6:35 UTC, fronton Dexible wyświetla wyskakujące ostrzeżenie o włamaniu za każdym razem, gdy odwiedzają go użytkownicy.
Zespół powiedział o 6:17 rano UTC, że znalazł „możliwe włamanie do kontraktów Dexible v2” i badał sprawę w tym czasie. Drugie oświadczenie zostało wydane około dziewięć godzin później, w którym powiedziano, że firma wie już, że „wykorzystano 2,047,635.17 17 4 USD z 13 adresów handlowych”. XNUMX w sieci głównej, XNUMX w arbitrum”.
Raport z sekcji zwłok został dostarczony jako plik PDF o godzinie 4:00 UTC i udostępniony na Discordzie. Zespół powiedział również, że „obecnie pracuje nad planem naprawy”.
Organizacja stwierdziła w raporcie, że zdała sobie sprawę, że coś jest nie tak, gdy jeden z jej założycieli przeniósł ze swojego portfela aktywa kryptograficzne o wartości 50,000 2 USD z niejasnych wówczas powodów. Przyczyny tego posunięcia nie były wówczas znane. Po przeprowadzeniu dochodzenia zespół doszedł do wniosku, że przeciwnik wykorzystał funkcję selfSwap w aplikacji do kradzieży kryptowaluty o wartości prawie XNUMX milionów dolarów od użytkowników, którzy wcześniej zezwolili programowi na transfer ich tokenów.
Użytkownicy mogli wymieniać jeden token na inny, korzystając z funkcji selfSwap, która wymagała od nich podania adresu routera i powiązanych z nim danych wywołania. Jednak kod nie zawierał listy routerów, które zostały już sprawdzone i autoryzowane. Aby przenieść tokeny użytkowników z ich portfeli do własnego inteligentnego kontraktu atakującego, atakujący wykorzystał tę metodę do przekierowania transakcji z Dexible do każdego kontraktu na token. Kontrakty tokenowe nie położyły kresu tym potencjalnie niebezpiecznym transakcjom, ponieważ pochodziły one z Dexible, któremu użytkownicy wyrazili już zgodę na używanie swoich tokenów.
Po otrzymaniu tokenów do własnego inteligentnego kontraktu, atakujący wypłacił monety za pomocą Tornado Cash i umieścił je w portfelach BNB (BNB), o których nie wiedział.
Wykonywanie kontraktów Dexible zostało wstrzymane, a firma zażądała od użytkowników wycofania autoryzacji tokenów dla takich kontraktów.
Powszechna praktyka zatwierdzania zatwierdzeń tokenów na duże kwoty może czasami prowadzić do strat dla użytkowników kryptowalut z powodu błędnych lub wręcz złośliwych umów. W rezultacie niektórzy eksperci branżowi zalecają użytkownikom regularne cofanie zatwierdzeń w celu ochrony przed potencjalnymi szkodami finansowymi. Ponieważ front-end większości aplikacji Web3 nie pozwala użytkownikom jawnie zmieniać liczby przyznanych tokenów, użytkownicy często tracą całe saldo tokenów, jeśli wykryją, że aplikacja ma problem z bezpieczeństwem. Chociaż MetaMask i inne portfele próbowały rozwiązać ten problem, umożliwiając użytkownikom zmianę zatwierdzeń tokenów podczas procesu potwierdzania portfela, większość użytkowników kryptowalut wciąż nie jest poinformowana o potencjalnych konsekwencjach niekorzystania z tej funkcji.
Źródło: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack