Glede na post mortem poročilo, ki ga je ekipa objavila na uradnem Discord kanalu projekta 17. februarja, je bil večverižni menjalni agregator Dexible ogrožen zaradi izkoriščanja in kot neposredna posledica je bil ukraden bitcoin v vrednosti 2 milijonov dolarjev.
Od 17. februarja ob 6:35 UTC sprednji del Dexible prikaže pojavno opozorilo o vdoru vsakič, ko ga uporabniki obiščejo.
Ekipa je ob 6:17 UTC sporočila, da je odkrila "možen vdor v pogodbe Dexible v2" in zadevo takrat preučuje. Približno devet ur pozneje je bila izdana druga izjava, v kateri je bilo rečeno, da je podjetje zdaj vedelo, da je bilo "2,047,635.17 $ izkoriščenih s 17 trgovskih naslovov." 4 na glavnem omrežju, 13 na arbitražnem.
Posmrtno poročilo je bilo zagotovljeno kot datoteka PDF ob 4:00 UTC in na voljo na Discordu. Ekipa je tudi povedala, da "trenutno dela na načrtu popravila."
Organizacija je v poročilu navedla, da se je zavedla, da je nekaj narobe, ko je enemu od njenih ustanoviteljev iz denarnice prenesel kripto sredstva v vrednosti 50,000 $ iz razlogov, ki takrat niso bili jasni. Razlogi za to potezo takrat niso bili znani. Po preiskavi je ekipa prišla do zaključka, da je nasprotnik uporabil funkcijo selfSwap v aplikaciji, da bi ukradel kriptovaluto v vrednosti skoraj 2 milijonov dolarjev od uporabnikov, ki so predhodno dovolili, da program prenese njihove žetone.
Uporabniki so lahko zamenjali en žeton za drugega z uporabo funkcije selfSwap, ki je zahtevala, da zagotovijo naslov usmerjevalnika in podatke o klicu, povezane z njim. Vendar pa koda ni vključevala seznama usmerjevalnikov, ki so že bili pregledani in avtorizirani. Da bi premaknil žetone uporabnikov iz njihovih denarnic v napadalčevo pametno pogodbo, je napadalec uporabil to metodo za preusmeritev transakcije iz Dexible v vsako pogodbo žetona. Pogodbe z žetoni niso ustavile teh potencialno nevarnih transakcij, saj so izvirale iz Dexible, ki so mu uporabniki že dali dovoljenje za uporabo njihovih žetonov.
Po prejemu žetonov v lastno pametno pogodbo je napadalec kovance dvignil z uporabo Tornado Cash in jih položil v denarnice BNB (BNB), za katere ni vedel.
Izvrševanje pogodb družbe Dexible je bilo ustavljeno, družba pa je zahtevala, da uporabniki prekličejo avtorizacije žetonov za takšne pogodbe.
Običajna praksa odobritve odobritev žetonov za velike zneske lahko včasih privede do izgub za uporabnike kriptovalut zaradi napačnih ali popolnoma zlonamernih pogodb. Zato nekateri strokovnjaki iz industrije svetujejo uporabnikom, naj redno preklicujejo odobritve, da se zaščitijo pred morebitno finančno škodo. Ker sprednji deli večine aplikacij Web3 uporabnikom izrecno ne dovoljujejo spreminjanja števila dodeljenih žetonov, uporabniki pogosto izgubijo celotno stanje svojih žetonov, če se odkrije, da ima aplikacija varnostno težavo. čeprav MetaMask in druge denarnice so poskušale rešiti to težavo tako, da so uporabnikom omogočile spreminjanje odobritev žetonov med postopkom potrditve denarnice, večina uporabnikov kriptovalut še vedno ni obveščena o morebitnih posledicah neuporabe te funkcije.
Vir: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack