Víceřetězcový burzovní agregátor Dexible byl zasažen exploitem a v důsledku toho došlo ke ztrátě kryptoměny v hodnotě 2 milionů dolarů, podle posmrtné zprávy ze 17. února, kterou tým zveřejnil na oficiálním serveru Discord projektu.
Od 6:35 UTC 17. února se na frontendu Dexible zobrazuje vyskakovací varování o hacku, kdykoli k němu uživatelé přejdou.
V 6:17 UTC tým oznámil, že objevil „potenciální hack na kontraktech Dexible v2“ a vyšetřuje problém. Přibližně o devět hodin později vydala druhé prohlášení, že nyní věděla, že „2,047,635.17 17 4 $ bylo zneužito ze 13 adres obchodníků. XNUMX na mainnet, XNUMX na arbitrum.“
Posmrtná zpráva byla vydána v 4:00 UTC jako soubor PDF a zveřejněna na Discordu a tým uvedl, že „aktivně pracuje na plánu nápravy“.
Ve zprávě tým uvádí, že si všiml, že něco není v pořádku, když jeden z jeho zakladatelů nechal z peněženky přesunout kryptoměnu v hodnotě 50,000 2 $ z důvodů, které v té době nebyly známy. Po prošetření tým zjistil, že útočník použil funkci selfSwap aplikace k přesunu kryptoměn v hodnotě více než XNUMX miliony dolarů od uživatelů, kteří aplikaci dříve autorizovali k přesunu jejich tokenů.
Funkce selfSwap umožnila uživatelům zadat adresu routeru a s ním spojená data volání, aby mohli vyměnit jeden token za jiný. Do kódu však nebyl zapsán žádný seznam předem schválených směrovačů. Útočník tedy použil tuto funkci ke směrování transakce z Dexible do každé tokenové smlouvy a přesunul tokeny uživatelů z jejich peněženek do útočníkovy vlastní chytré smlouvy. Protože tyto škodlivé transakce pocházely ze společnosti Dexible, kterou uživatelé již autorizovali utrácet své tokeny, smlouvy o tokenech transakce neblokovaly.
Související: Ovlivňovač NFT se stal obětí kybernetického útoku, přišel o 300 tisíc $+ CryptoPunks
Po obdržení tokenů do vlastního smart kontraktu útočník stáhl coiny přes Tornado Cash do neznámého BNB (BNB) peněženky.
Společnost Dexible pozastavila své smlouvy a vyzvala uživatele, aby jim odvolali autorizace tokenů.
Běžná praxe autorizace schvalování tokenů pro velké částky někdy vedla ke ztrátám uživatelů kryptoměn v důsledku chybných nebo přímo škodlivých smluv, což vedlo některé odborníky k varování uživatelů, aby pravidelně odvolávat schválení. Frontendy většiny aplikací Web3 uživatelům přímo neumožňují upravovat množství schválených tokenů, takže uživatelé často ztratí celý zůstatek svých tokenů, pokud se ukáže, že aplikace má bezpečnostní chybu. MetaMask a další peněženky se pokusily tento problém vyřešit tím, že uživatelům umožnily upravit schválení tokenu v kroku potvrzení peněženky, ale mnoho uživatelů kryptoměn si stále neuvědomuje riziko, že tuto funkci nevyužijí.
Zdroj: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function