A csapat által a projekt hivatalos Discord csatornáján február 17-én közzétett post mortem jelentés szerint a Dexible többláncú tőzsdei aggregátort egy kizsákmányolás veszélybe sodorta, és ennek egyenes következményeként 2 millió dollár értékű bitcoint loptak el.
Február 17-én, 6:35-kor (UTC) a Dexible eleje felugró figyelmeztetést jelenít meg a feltörésről, amikor a felhasználók felkeresik.
A csapat 6 óra 17 perckor (UTC) közölte, hogy „lehetséges feltörést találtak a Dexible v2-szerződéseken”, és akkor vizsgálták az ügyet. Körülbelül kilenc órával később egy második nyilatkozatot adtak ki, amelyben azt mondták, hogy a vállalat most már tudja, hogy „2,047,635.17 17 4 dollárt használtak ki 13 kereskedelmi címről”. XNUMX a mainneten, XNUMX az arbitrumon.”
A lehullás utáni jelentést PDF-fájlként 4:00-kor (UTC) biztosították, és elérhetővé tették a Discord-on. A csapat azt is elmondta, hogy „jelenleg egy javítási terven dolgozik”.
A szervezet a jelentésben leszögezte, hogy akkor szerzett tudomást arról, hogy valami nincs rendben, amikor egyik alapítója 50,000 2 dollár értékű kriptovagyont utalt ki a pénztárcájából, akkor még tisztázatlan okokból. Ennek a lépésnek az okai akkor még ismeretlenek voltak. A vizsgálatot követően a csapat arra a következtetésre jutott, hogy egy ellenfél az alkalmazás selfSwap funkcióját felhasználva közel XNUMX millió dollár értékű kriptovalutát lopott el azoktól a felhasználóktól, akik korábban engedélyt adtak a programnak tokenek átvitelére.
A felhasználók a selfSwap funkció segítségével cserélhettek egy tokent a másikra, amihez meg kellett adniuk egy router címét és a hozzá kapcsolódó hívási adatokat. A kód azonban nem tartalmazta a már felülvizsgált és engedélyezett útválasztók listáját. Annak érdekében, hogy a felhasználók tokenjeit áthelyezze a pénztárcájából a támadó saját intelligens szerződésébe, a támadó ezt a módszert használta a tranzakciók átirányítására a Dexible-től az egyes token-szerződésekhez. A token-szerződések nem állítottak gátat ezeknek a potenciálisan veszélyes tranzakcióknak, mivel a Dexible-től származtak, amelynek a felhasználók már engedélyt adtak a tokenek használatára.
Miután a támadó megkapta a tokeneket saját okosszerződésükbe, a Tornado Cash segítségével kivette az érméket, és olyan BNB (BNB) pénztárcákba helyezte, amelyekről nem tudott.
A Dexible szerződéseinek végrehajtását leállították, és a cég arra kérte a felhasználókat, hogy vonják vissza az ilyen szerződésekre vonatkozó token engedélyeiket.
A nagy összegekre vonatkozó token-jóváhagyások bevett gyakorlata néha veszteségekhez vezethet a kriptovaluta-felhasználók számára bugos vagy egyenesen rosszindulatú szerződések miatt. Ennek eredményeként egyes iparági szakértők azt tanácsolják a felhasználóknak, hogy rendszeresen vonják vissza a jóváhagyásokat, hogy megvédjék magukat az esetleges pénzügyi károktól. Mivel a legtöbb Web3-alkalmazás kezelőfelülete nem teszi lehetővé a felhasználók számára, hogy módosítsák a kiadott tokenek számát, a felhasználók gyakran elveszítik teljes tokenegyenlegüket, ha felfedezik, hogy egy alkalmazásban biztonsági probléma van. Habár metamaszk és más pénztárcák megpróbálták megoldani ezt a problémát azáltal, hogy lehetővé tették a felhasználók számára, hogy módosítsák a token jóváhagyását a pénztárca megerősítési folyamata során, a kriptovaluta-felhasználók többsége még mindig nem ismeri a funkció használatának elmulasztásának lehetséges következményeit.
Forrás: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack