- Pojavno opozorilo o napadu je bilo prikazano na sprednji strani Dexible.
- Eden od ustanoviteljev je dal skrivnostno odstraniti kriptovaluto v vrednosti 50,000 USD.
Po obdukciji, ki jo je objavila Prilagodljiv ekipa na uradnem kanalu projekta Discord 17. februarja. Zbiralnik večverižne izmenjave je bil vdrt, kar je povzročilo izgubo v vrednosti 2 milijonov dolarjev cryptocurrencies. Od 6:35 UTC 17. februarja je bilo na sprednji strani Dexible prikazano pojavno opozorilo o napadu.
Svoje odkritje možnega vdora v pogodbe Dexible v2 so objavili ob 6:17 zjutraj po UTC. In rekli, da to preučujejo. Po približno devetih urah čakanja je izdal drugo izjavo, ki pravi: »2,047,635.17 $ je bilo izkoriščenih s 17 naslovov trgovcev. 4 na glavnem omrežju, 13 na arbitražo.” Poleg tega je bila okoli 4:00 UTC datoteka PDF s podrobnostmi o incidentu naložena v Discord. Ekipa je povedala, da trenutno delajo na strategiji sanacije.
Izkoriščanje funkcije SelfSwap
Poleg tega je po poročilu posadka vedela, da nekaj ni v redu. Ko je enemu od ustanoviteljev iz denarnice skrivnostno odstranil 50,000 USD kriptovalute. Raziskovalci so odkrili, da je napadalec prenesel več kot 2 milijona dolarjev kriptovalute od uporabnikov, ki so aplikaciji omogočili premikanje njihovih žetonov s funkcijo selfSwap.
Poleg tega lahko žetone zamenjate z uporabo funkcije selfSwap z vnosom želenega žetona in naslova usmerjevalnika oz. klicni podatki. Nasprotno pa koda ni zagotovila seznama potrjenih usmerjevalnikov.
Napadalec je nato to zmožnost izkoristil za pošiljanje transakcije iz Dexible v vsako pogodbo žetonov, s čimer je prenesel žetone iz uporabniških denarnic v napadalčevo lastno pametno pogodbo. Pogodbe o žetonih niso preprečile teh nezakonitih transakcij, saj so izvirale iz Dexible, ki so ga stranke že odobrile za porabo žetonov.
Priporočeno za vas:
Protokol DeFi dForce je heker izkoristil za 3.65 milijona dolarjev
Vir: https://thenewscrypto.com/dex-aggregator-dexible-exploited-of-2-million-in-recent-hack/