Podle posmrtné zprávy zveřejněné týmem na oficiálním kanálu Discord projektu 17. února byl multiřetězcový burzovní agregátor Dexible kompromitován exploitem a v přímém důsledku byly ukradeny bitcoiny v hodnotě 2 milionů dolarů.
Od 17. února, 6:35 UTC, frontend Dexible zobrazuje vyskakovací upozornění na hack, kdykoli jej uživatelé navštíví.
Tým řekl v 6:17 UTC, že našel „možný hack na kontraktech Dexible v2“ a v té době se touto záležitostí zabýval. Zhruba o devět hodin později bylo vydáno druhé prohlášení, ve kterém bylo řečeno, že společnost nyní věděla, že „2,047,635.17 17 4 $ bylo zneužito ze 13 obchodních adres“. XNUMX na mainnet, XNUMX na arbitrum.“
Posmrtná zpráva byla poskytnuta jako soubor PDF v 4:00 UTC a zpřístupněna na Discordu. Tým také uvedl, že „v současné době pracuje na plánu oprav“.
Organizace ve zprávě uvedla, že si uvědomila, že něco není v pořádku, když jeden z jejích zakladatelů nechal ze své peněženky převést kryptoaktiva v hodnotě 50,000 2 $ z tehdy nejasných důvodů. Důvody tohoto kroku byly v té době neznámé. Po svém vyšetřování tým dospěl k závěru, že protivník využil funkci selfSwap aplikace k odcizení kryptoměny v hodnotě téměř XNUMX milionů dolarů od uživatelů, kteří předtím dali programu povolení k převodu jejich tokenů.
Uživatelé mohli vyměnit jeden token za jiný pomocí funkce selfSwap, která vyžadovala, aby poskytli adresu routeru a s ním spojená data volání. Kód však neobsahoval seznam routerů, které již byly zkontrolovány a autorizovány. Za účelem přesunu tokenů uživatelů z jejich peněženek do útočníkovy vlastní inteligentní smlouvy útočník použil tuto metodu ke směrování transakce z Dexible do každé smlouvy o tokenu. Tokenové smlouvy nezastavily tyto potenciálně nebezpečné transakce, protože pocházely od společnosti Dexible, které uživatelé již dali povolení používat své tokeny.
Poté, co útočník obdržel tokeny do své vlastní chytré smlouvy, stáhl mince pomocí Tornado Cash a umístil je do peněženek BNB (BNB), o kterých nevěděl.
Realizace smluv společnosti Dexible byla zastavena a společnost požádala uživatele, aby odvolali svá tokenová oprávnění pro takové smlouvy.
Běžná praxe autorizace schvalování tokenů pro velké částky může někdy vést ke ztrátám uživatelů kryptoměn v důsledku chybných nebo přímo škodlivých smluv. V důsledku toho někteří odborníci z oboru radí uživatelům, aby pravidelně odvolávali schválení, aby se ochránili před potenciální finanční újmou. Protože frontendy většiny aplikací Web3 uživatelům výslovně neumožňují měnit počet udělených tokenů, uživatelé často ztratí celý zůstatek tokenů, pokud se zjistí, že aplikace má problém se zabezpečením. Ačkoli MetaMask a další peněženky se pokusily tento problém vyřešit tím, že uživatelům umožnily změnit schválení tokenu během procesu potvrzení peněženky, většina uživatelů kryptoměn stále není informována o možných důsledcích nevyužití této funkce.
Zdroj: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack