Відповідно до посмертного звіту від 2 лютого, опублікованого командою на офіційному сервері Discord проекту, багатоланцюговий біржовий агрегатор Dexible постраждав від експлойту, і в результаті було втрачено криптовалюту на 17 мільйони доларів.
Станом на 6:35 UTC 17 лютого інтерфейс Dexible показує спливаюче вікно з попередженням про злом кожного разу, коли користувачі переходять до нього.
О 6:17 ранку UTC команда повідомила, що виявила «потенційний злом контрактів Dexible v2» і досліджує проблему. Приблизно через дев’ять годин компанія опублікувала другу заяву про те, що тепер відомо, що «2,047,635.17 17 4 доларів США було викрадено з 13 адрес трейдерів. XNUMX у мережі, XNUMX у арбітрумі».
Посмертний звіт був виданий о 4:00 UTC у форматі PDF і оприлюднений на Discord, і команда заявила, що «активно працює над планом виправлення».
У звіті команда стверджує, що помітила щось не так, коли в одного з її засновників із гаманця було вилучено криптовалюту на суму 50,000 2 доларів з невідомих на той час причин. Після розслідування команда виявила, що зловмисник використав функцію selfSwap програми, щоб перемістити криптовалюту на суму понад XNUMX мільйони доларів від користувачів, які раніше авторизували програму для переміщення своїх жетонів.
Функція selfSwap дозволяла користувачам надавати адресу маршрутизатора та пов’язані з ним дані виклику, щоб замінювати один маркер іншим. Однак у коді не було списку попередньо схвалених маршрутизаторів. Отже, зловмисник використовував цю функцію для маршрутизації транзакції від Dexible до кожного контракту токенів, переміщуючи токени користувачів із їхніх гаманців у власний смарт-контракт зловмисника. Оскільки ці зловмисні транзакції надходили від Dexible, якому користувачі вже дозволили витрачати свої токени, контракти на токени не блокували транзакції.
За темою: Інфлюенсер NFT став жертвою кібератаки, втратив понад 300 тисяч доларів CryptoPunks
Після отримання токенів у власний смарт-контракт зловмисник вивів монети через Tornado Cash у невідомий BNB (BNB) гаманці.
Dexible призупинив свої контракти та закликав користувачів відкликати для них авторизацію токенів.
Звичайна практика авторизації схвалення токенів на великі суми іноді призводила до збитків для користувачів криптовалюти через помилкові або відверто зловмисні контракти, що спонукало деяких експертів попереджати користувачів про регулярно скасовувати погодження. Інтерфейс більшості програм Web3 не дозволяє користувачам напряму редагувати кількість схвалених токенів, тому користувачі часто втрачають повний баланс своїх токенів, якщо програма має недолік безпеки. MetaMask та інші гаманці намагалися вирішити цю проблему, дозволивши користувачам редагувати схвалення токенів на етапі підтвердження гаманця, але багато користувачів криптовалюти все ще не усвідомлюють ризик невикористання цієї функції.
Джерело: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function