Відповідно до посмертного звіту, опублікованого командою на офіційному каналі проекту Discord 17 лютого, багатоланцюговий біржовий агрегатор Dexible був скомпрометований експлойтом, і, як прямий наслідок, було вкрадено біткойн на суму 2 мільйони доларів.
Станом на 17 лютого, 6:35 UTC, у передній частині Dexible відображається спливаюче вікно з попередженням про злом кожного разу, коли користувачі відвідують його.
Команда повідомила о 6:17 ранку UTC, що виявила «можливий злом контрактів Dexible v2» і наразі розглядає це питання. Приблизно через дев’ять годин було опубліковано другу заяву, в якій говорилося, що тепер компанії відомо, що «2,047,635.17 17 4 доларів США було викрадено з 13 торгових адрес». XNUMX в мережі, XNUMX в арбітрумі».
Посмертний звіт був наданий у форматі PDF о 4:00 UTC і опублікований на Discord. Команда також повідомила, що «зараз працює над планом ремонту».
Організація заявила у звіті, що їй стало відомо, що щось не так, коли один із її засновників перевів криптоактиви на суму 50,000 2 доларів із свого гаманця з незрозумілих на той час причин. Причини такого кроку на той час були невідомі. Після розслідування команда дійшла висновку, що зловмисник скористався функцією програми selfSwap, щоб викрасти криптовалюту на суму майже XNUMX мільйони доларів у користувачів, які раніше надали дозвіл програмі на передачу їхніх токенів.
Користувачі могли обмінювати один токен на інший за допомогою функції selfSwap, яка вимагала від них надати адресу маршрутизатора та пов’язані з ним дані виклику. Однак код не містив списку маршрутизаторів, які вже були перевірені та авторизовані. Щоб перемістити токени користувачів із їхніх гаманців у власний смарт-контракт зловмисника, зловмисник використав цей метод для маршрутизації транзакції від Dexible до кожного контракту токена. Контракти токенів не зупинили ці потенційно небезпечні транзакції, оскільки вони походили від Dexible, якому користувачі вже дали дозвіл на використання своїх токенів.
Отримавши токени у свій власний смарт-контракт, зловмисник вилучив монети за допомогою Tornado Cash і помістив їх у гаманці BNB (BNB), про які вони не знали.
Виконання контрактів Dexible було припинено, і компанія попросила користувачів відкликати авторизацію токенів для таких контрактів.
Поширена практика авторизації схвалення токенів на великі суми іноді може призвести до збитків для користувачів криптовалюти через помилкові або відверто зловмисні контракти. У результаті деякі експерти галузі радять користувачам регулярно скасовувати схвалення, щоб захистити себе від потенційної фінансової шкоди. Оскільки інтерфейси більшості програм Web3 явно не дозволяють користувачам змінювати кількість наданих токенів, користувачі часто втрачають весь баланс своїх токенів, якщо виявляється, що програма має проблеми з безпекою. Хоча MetaMask та інші гаманці намагалися вирішити цю проблему, дозволяючи користувачам змінювати схвалення токенів під час процесу підтвердження гаманця, більшість користувачів криптовалюти все ще не поінформовані про потенційні наслідки невикористання цієї функції.
Джерело: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack