Агрегаторът за многоверижен обмен Dexible е бил засегнат от експлойт и в резултат на това е била загубена криптовалута на стойност 2 милиона долара, според постмортален доклад от 17 февруари, публикуван от екипа на официалния Discord сървър на проекта.
От 6:35 UTC на 17 февруари, предният край на Dexible показва изскачащо предупреждение за хака всеки път, когато потребителите навигират до него.
В 6:17 сутринта UTC екипът съобщи, че е открил „потенциален хак върху договори Dexible v2“ и проучва проблема. Приблизително девет часа по-късно той публикува второ изявление, че вече знае, че „$2,047,635.17 са били експлоатирани от 17 адреса на търговци. 4 в основната мрежа, 13 в арбитрума.“
Доклад за аутопсия беше издаден в 4:00 UTC като PDF файл и пуснат в Discord, а екипът каза, че „работи активно по план за отстраняване“.
В доклада екипът заявява, че е забелязал, че нещо не е наред, когато един от неговите основатели е преместил крипто на стойност $50,000 2 от портфейла си по неизвестни към момента причини. След разследване екипът установи, че нападател е използвал функцията selfSwap на приложението, за да премести крипто на стойност над $XNUMX милиона от потребители, които преди това са упълномощили приложението да премести техните токени.
Функцията selfSwap позволи на потребителите да предоставят адреса на рутер и данни за извикване, свързани с него, за да направят суап на един токен с друг. В кода обаче нямаше списък с предварително одобрени рутери. И така, нападателят използва тази функция, за да насочи транзакция от Dexible към всеки договор за токени, премествайки токените на потребителите от техните портфейли в собствения интелигентен договор на нападателя. Тъй като тези злонамерени транзакции идваха от Dexible, които потребителите вече бяха упълномощили да изразходват своите токени, договорите за токени не блокираха транзакциите.
Свързани: NFT инфлуенсър става жертва на кибератака, губи $300K+ CryptoPunks
След като получи токените в собствения си интелигентен договор, нападателят изтегли монетите чрез Tornado Cash в неизвестна BNB (БНБ) портфейли.
Dexible постави на пауза договорите си и призова потребителите да отменят разрешенията за токени за тях.
Обичайната практика за разрешаване на одобрения на токени за големи суми понякога води до загуби за крипто потребителите поради бъгове или откровено злонамерени договори, което кара някои експерти да предупреждават потребителите да редовно отменете одобрения. Предните части за повечето Web3 приложения не позволяват директно на потребителите да редактират количеството одобрени токени, така че потребителите често губят пълния баланс на своите токени, ако се окаже, че дадено приложение има пропуск в сигурността. MetaMask и други портфейли се опитаха да коригират този проблем, като позволиха на потребителите да редактират одобренията на токени на стъпката за потвърждение на портфейла, но много потребители на крипто все още не са наясно с риска да не използват тази функция.
Източник: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function