Według raportu z sekcji zwłok opublikowanego 2 lutego przez zespół na oficjalnym serwerze Discord, agregator giełd wielołańcuchowych Dexible został zaatakowany przez exploita, w wyniku czego utracono kryptowalutę o wartości 17 milionów dolarów.
Od 6:35 UTC 17 lutego interfejs Dexible wyświetla wyskakujące ostrzeżenie o włamaniu za każdym razem, gdy użytkownicy do niego przejdą.
O godzinie 6:17 UTC zespół poinformował, że odkrył „potencjalny hack na kontrakty Dexible v2” i bada problem. Około dziewięć godzin później opublikował drugie oświadczenie, w którym wiedział już, że „wykorzystano 2,047,635.17 17 4 USD z 13 adresów handlowych. XNUMX w sieci głównej, XNUMX w arbitrum”.
Raport z sekcji zwłok został wydany o godzinie 4:00 UTC jako plik PDF i opublikowany na Discordzie, a zespół powiedział, że „aktywnie pracuje nad planem naprawczym”.
W raporcie zespół stwierdza, że zauważył, że coś jest nie tak, gdy jeden z jego założycieli wyprowadził ze swojego portfela kryptowaluty o wartości 50,000 2 USD z nieznanych wówczas powodów. Po zbadaniu sprawy zespół odkrył, że osoba atakująca wykorzystała funkcję selfSwap aplikacji, aby przenieść kryptowaluty o wartości ponad XNUMX milionów dolarów od użytkowników, którzy wcześniej autoryzowali aplikację do przenoszenia swoich tokenów.
Funkcja selfSwap umożliwiała użytkownikom podanie adresu routera i powiązanych z nim danych wywołania w celu dokonania wymiany jednego tokena na inny. Jednak w kodzie nie było zapisanej listy wstępnie zatwierdzonych routerów. Tak więc atakujący użył tej funkcji, aby skierować transakcję z Dexible do każdego kontraktu tokena, przenosząc tokeny użytkowników z ich portfeli do własnego inteligentnego kontraktu atakującego. Ponieważ te złośliwe transakcje pochodziły z Dexible, którego użytkownicy już upoważnili do wydawania swoich tokenów, kontrakty na tokeny nie blokowały transakcji.
Związane z: Influencer NFT pada ofiarą cyberataku, traci ponad 300 XNUMX $ CryptoPunks
Po otrzymaniu tokenów do własnego inteligentnego kontraktu atakujący wypłacił monety za pośrednictwem Tornado Cash na nieznany BNB (BNB) portfele.
Firma Dexible wstrzymała swoje umowy i wezwała użytkowników do cofnięcia dla nich autoryzacji tokenów.
Powszechna praktyka zatwierdzania zatwierdzeń tokenów na duże kwoty czasami prowadziła do strat dla użytkowników kryptowalut z powodu błędnych lub wręcz złośliwych umów, co skłoniło niektórych ekspertów do ostrzegania użytkowników przed regularnie cofać zezwolenia. Interfejsy większości aplikacji Web3 nie pozwalają użytkownikom bezpośrednio edytować liczby zatwierdzonych tokenów, więc użytkownicy często tracą pełne saldo swoich tokenów, jeśli okaże się, że aplikacja ma lukę w zabezpieczeniach. MetaMask i inne portfele próbowały rozwiązać ten problem, umożliwiając użytkownikom edytowanie zatwierdzeń tokenów na etapie potwierdzania portfela, ale wielu użytkowników kryptowalut wciąż nie zdaje sobie sprawy z ryzyka niekorzystania z tej funkcji.
Źródło: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function