Projektin virallisella Discord-kanavalla 17. helmikuuta julkaiseman post mortem -raportin mukaan moniketjuinen pörssiaggregaattori Dexible on vaarantunut hyväksikäytön seurauksena, ja suorana seurauksena on 2 miljoonan dollarin arvosta bitcoineja varastettu.
17. helmikuuta kello 6 UTC alkaen Dexiblen etuosassa näkyy ponnahdusikkuna varoituksen hakkeroinnista aina, kun käyttäjät vierailevat siellä.
Tiimi kertoi kello 6 UTC, että se oli löytänyt "mahdollisen hakkeroinnin Dexible v17 -sopimuksissa" ja tutki asiaa tuolloin. Toinen lausunto annettiin noin yhdeksän tuntia myöhemmin, jossa sanottiin, että yritys tiesi nyt, että "2 2,047,635.17 17 dollaria käytettiin hyväksi 4 kauppaosoitteesta". 13 pääverkossa, XNUMX arbitrumissa."
Post mortem -raportti toimitettiin PDF-tiedostona klo 4 UTC ja asetettiin saataville Discordissa. Tiimi sanoi myös, että se "työstää parhaillaan korjaussuunnitelmaa".
Organisaatio totesi raportissa, että se sai tietoonsa, että jokin oli vialla, kun yksi sen perustajista oli siirtänyt lompakosta 50,000 2 dollarin arvoista kryptovarallisuutta syistä, jotka olivat tuolloin epäselviä. Siirron syitä ei silloin tiedetty. Tutkimuksensa jälkeen ryhmä tuli siihen tulokseen, että vastustaja oli käyttänyt sovelluksen selfSwap-ominaisuutta varastaakseen lähes XNUMX miljoonan dollarin arvosta kryptovaluuttaa käyttäjiltä, jotka olivat aiemmin antaneet ohjelmalle luvan siirtää tokenejaan.
Käyttäjät pystyivät tekemään kaupan tokenista toiselle käyttämällä selfSwap-toimintoa, joka vaati heidän antamaan reitittimen osoitteen ja siihen liittyvät puhelutiedot. Koodi ei kuitenkaan sisältänyt luetteloa reitittimistä, jotka oli jo tarkistettu ja valtuutettu. Siirtääkseen käyttäjien rahakkeita lompakoistaan hyökkääjän omaan älysopimukseen, hyökkääjä käytti tätä menetelmää reitittääkseen tapahtuman Dexiblesta kuhunkin merkkisopimukseen. Token-sopimukset eivät estäneet näitä mahdollisesti vaarallisia tapahtumia, koska ne olivat peräisin Dexiblelta, jolle käyttäjät olivat jo antaneet luvan käyttää tokenejaan.
Vastaanotettuaan rahakkeet omaan älysopimukseensa hyökkääjä nosti kolikot Tornado Cashilla ja asetti ne BNB (BNB) -lompakoihin, joista he eivät tienneet.
Dexiblen sopimusten toimeenpano on keskeytetty, ja yhtiö on pyytänyt käyttäjiä peruuttamaan tällaisten sopimusten tunnusvaltuutuksensa.
Yleinen käytäntö valtuuttaa token-hyväksynnät suurille määrille voi joskus johtaa kryptovaluutan käyttäjien tappioihin bugisten tai suoranaisesti haitallisten sopimusten vuoksi. Tämän seurauksena jotkut alan asiantuntijat neuvovat käyttäjiä peruuttamaan hyväksynnät säännöllisesti suojatakseen itsensä mahdollisilta taloudelliselta haitalta. Koska useimpien Web3-sovellusten käyttöliittymät eivät nimenomaisesti anna käyttäjien muuttaa myönnettyjen tunnuksien määrää, käyttäjät menettävät usein koko tunnuksensa, jos havaitaan, että sovelluksessa on tietoturvaongelma. Siitä huolimatta MetaMask ja muut lompakot ovat yrittäneet ratkaista tämän ongelman antamalla käyttäjien muuttaa tunnuksen hyväksyntää lompakon vahvistusprosessin aikana. Suurin osa kryptovaluutan käyttäjistä on edelleen tietämätön tämän toiminnon käyttämättä jättämisen mahdollisista seurauksista.
Lähde: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack