Moniketjuinen pörssiaggregaattori Dexible on joutunut hyväksikäytön kohteeksi, ja tämän seurauksena on menetetty 2 miljoonan dollarin arvosta kryptovaluuttaa ryhmän 17. helmikuuta julkaiseman post mortem -raportin mukaan projektin virallisella Discord-palvelimella.
6. helmikuuta klo 35 UTC Dexiblen käyttöliittymä näyttää ponnahdusikkunan varoituksen hakkeroinnista aina, kun käyttäjät navigoivat siihen.
Klo 6 UTC, tiimi ilmoitti havainneensa "mahdollisen hakkeroinnin Dexible v17 -sopimuksissa" ja tutkii asiaa. Noin yhdeksän tuntia myöhemmin se julkaisi toisen lausunnon, jonka mukaan se tiesi nyt, että 2 2,047,635.17 17 dollaria käytettiin hyväksi 4 kauppiaan osoitteesta. 13 pääverkossa, XNUMX arbitrumissa."
Post mortem -raportti julkaistiin kello 4 UTC PDF-tiedostona ja julkaistiin Discordissa, ja tiimi sanoi työskentelevänsä aktiivisesti korjaussuunnitelman parissa.
Raportissa tiimi toteaa, että se oli huomannut jotain olevan vialla, kun yksi sen perustajista oli siirtänyt lompakosta 50,000 2 dollarin arvosta kryptoa syistä, joita ei tuolloin tiedetty. Tutkimusten jälkeen ryhmä havaitsi, että hyökkääjä oli käyttänyt sovelluksen selfSwap-toimintoa siirtääkseen yli XNUMX miljoonan dollarin arvosta kryptoa käyttäjiltä, jotka olivat aiemmin valtuuttaneet sovelluksen siirtämään tokenejaan.
SelfSwap-toiminnon avulla käyttäjät voivat antaa reitittimen osoitteen ja siihen liittyvät puhelutiedot vaihtaakseen yhden tunnuksen toiseen. Koodiin ei kuitenkaan ollut kirjoitettu luetteloa ennalta hyväksytyistä reitittimistä. Joten hyökkääjä käytti tätä toimintoa reitittääkseen tapahtuman Dexiblesta jokaiseen merkkisopimukseen siirtäen käyttäjien tunnukset lompakoistaan hyökkääjän omaan älysopimukseen. Koska nämä haitalliset tapahtumat tulivat Dexiblelta, jonka käyttäjät olivat jo valtuutettu käyttämään tokenejaan, merkkisopimukset eivät estäneet tapahtumia.
Related: NFT-vaikuttaja joutuu kyberhyökkäyksen uhriksi, menettää yli 300 XNUMX dollaria CryptoPunkseja
Vastaanotettuaan rahakkeet omaan älysopimukseensa, hyökkääjä nosti kolikot Tornado Cashin kautta tuntemattomaan BNB:hen (BNB) lompakot.
Dexible on keskeyttänyt sopimuksensa ja kehottanut käyttäjiä peruuttamaan niille myönnetyt valtuutukset.
Yleinen käytäntö valtuuttaa tokenin hyväksynnät suurille määrille on joskus johtanut kryptonkäyttäjille tappioihin bugisten tai suoranaisesti haitallisten sopimusten vuoksi, minkä vuoksi jotkut asiantuntijat ovat varoittaneet käyttäjiä peruuttaa hyväksynnät säännöllisesti. Useimpien Web3-sovellusten käyttöliittymät eivät salli suoraan käyttäjien muokata hyväksyttyjen tunnuksien määrää, joten käyttäjät menettävät usein koko tokeniensa saldon, jos sovelluksessa ilmenee tietoturvavirhe. MetaMask ja muut lompakot ovat yrittäneet korjata tämän ongelman antamalla käyttäjien muokata tunnuksen hyväksyntöjä lompakon vahvistusvaiheessa, mutta monet krypto-käyttäjät eivät edelleenkään ole tietoisia riskistä, että tätä ominaisuutta ei käytetä.
Lähde: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function