I følge en post mortem-rapport publisert av teamet på den offisielle Discord-kanalen til prosjektet 17. februar, har multichain-børsaggregatoren Dexible blitt kompromittert av en utnyttelse, og som en direkte konsekvens er bitcoin verdt 2 millioner dollar blitt stjålet.
Fra 17. februar kl. 6 UTC, viser frontenden av Dexible en popup-advarsel om hacket hver gang brukere besøker det.
Teamet sa klokken 6:17 UTC at de hadde funnet "et mulig hack på Dexible v2-kontrakter" og så på saken på det tidspunktet. En annen uttalelse ble gitt rundt ni timer senere, der det ble sagt at selskapet nå visste at "$2,047,635.17 17 4 ble utnyttet fra 13 handelsadresser." XNUMX på hovednettet, XNUMX på arbitrum.»
En obduksjonsrapport ble levert som en PDF-fil klokken 4:00 UTC og gjort tilgjengelig på Discord. Teamet sa også at det "for tiden jobber med en reparasjonsplan."
Organisasjonen uttalte i rapporten at den ble klar over at noe var galt da en av grunnleggerne fikk kryptoaktiva verdt 50,000 2 dollar overført fra lommeboken av årsaker som var uklare på det tidspunktet. Årsakene til denne flyttingen var ukjent på det tidspunktet. Etter undersøkelsen deres kom teamet til den konklusjon at en motstander hadde brukt selfSwap-funksjonen til appen for å stjele kryptovaluta verdt nesten XNUMX millioner dollar fra brukere som tidligere hadde gitt tillatelse til at programmet kunne overføre tokens deres.
Brukere var i stand til å bytte et token mot et annet ved å bruke selfSwap-funksjonen, som krevde at de oppga adressen til en ruter og anropsdataene knyttet til den. Koden inkluderte imidlertid ikke en liste over rutere som allerede var gjennomgått og autorisert. For å flytte brukernes tokens fra lommeboken til angriperens egen smarte kontrakt, brukte angriperen denne metoden for å rute en transaksjon fra Dexible til hver token-kontrakt. Token-kontrakter satte ikke en stopper for disse potensielt farlige transaksjonene siden de stammet fra Dexible, som brukere allerede hadde gitt tillatelse til å bruke tokenene deres.
Etter å ha mottatt tokens i sin egen smarte kontrakt, trakk angriperen myntene ved hjelp av Tornado Cash og plasserte dem i BNB (BNB) lommebøker som de ikke visste om.
Gjennomføringen av Dexibles kontrakter er stanset, og selskapet har bedt brukere om å trekke tilbake sine token-autorisasjoner for slike kontrakter.
Den vanlige praksisen med å godkjenne token-godkjenninger for store beløp kan noen ganger føre til tap for kryptovaluta-brukere på grunn av buggy eller direkte ondsinnede kontrakter. Som et resultat råder noen bransjeeksperter brukere til regelmessig å tilbakekalle godkjenninger for å beskytte seg mot potensiell økonomisk skade. Fordi grensesnittene til de fleste Web3-applikasjoner ikke eksplisitt lar brukere endre antall tildelte tokens, mister brukere ofte hele tokenbalansen hvis det oppdages at en app har et sikkerhetsproblem. Selv om metamask og andre lommebøker har forsøkt å løse dette problemet ved å la brukere endre token-godkjenninger under lommebokbekreftelsesprosessen, er flertallet av kryptovalutabrukere fortsatt uinformert om de potensielle konsekvensene av å ikke bruke denne funksjonen.
Kilde: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack