Večverižni menjalni agregator Dexible je bil prizadet zaradi izkoriščanja in zaradi tega je bila izgubljena kriptovaluta v vrednosti 2 milijonov dolarjev, glede na post mortem poročilo z dne 17. februarja, ki ga je objavila ekipa na uradnem strežniku Discord projekta.
Od 6:35 UTC 17. februarja sprednji del Dexible prikaže pojavno opozorilo o vdoru, kadar koli uporabniki navigirajo do njega.
Ob 6:17 zjutraj UTC je ekipa poročala, da je odkrila "možen vdor v pogodbe Dexible v2" in preiskuje težavo. Približno devet ur pozneje je izdal drugo izjavo, v kateri je zdaj vedel, da je bilo »2,047,635.17 $ izkoriščenih s 17 naslovov trgovcev. 4 na glavnem omrežju, 13 na arbitražnem.
Posmrtno poročilo je bilo izdano ob 4:00 UTC kot datoteka PDF in objavljeno na Discordu, ekipa pa je dejala, da "aktivno dela na sanacijskem načrtu."
V poročilu ekipa navaja, da je opazila, da je nekaj narobe, ko je enemu od njenih ustanoviteljev iz denarnice odstranil kripto v vrednosti 50,000 dolarjev iz razlogov, ki takrat niso bili znani. Po preiskavi je skupina ugotovila, da je napadalec uporabil funkcijo selfSwap aplikacije, da je premaknil kriptovalute v vrednosti več kot 2 milijona dolarjev od uporabnikov, ki so predhodno pooblastili aplikacijo za premikanje njihovih žetonov.
Funkcija selfSwap je uporabnikom omogočala, da posredujejo naslov usmerjevalnika in klicne podatke, povezane z njim, da izvedejo zamenjavo enega žetona za drugega. Vendar pa v kodi ni bilo zapisanega seznama vnaprej odobrenih usmerjevalnikov. Napadalec je torej uporabil to funkcijo za preusmeritev transakcije od Dexible do vsake pogodbe žetonov, pri čemer je žetone uporabnikov premaknil iz njihovih denarnic v napadalčevo lastno pametno pogodbo. Ker so te zlonamerne transakcije prihajale iz Dexible, ki so ga uporabniki že pooblastili za porabo žetonov, pogodbe o žetonih niso blokirale transakcij.
Povezano: NFT vplivnež žrtev kibernetskega napada, izgubil 300 $+ CryptoPunks
Po prejemu žetonov v lastno pametno pogodbo je napadalec kovance dvignil prek Tornado Cash v neznano BNB (BNB) denarnice.
Dexible je začasno ustavil svoje pogodbe in uporabnike pozval, naj jim prekličejo avtorizacije žetonov.
Običajna praksa odobritve odobritev žetonov za velike zneske je včasih privedla do izgub za uporabnike kriptovalut zaradi napačnih ali popolnoma zlonamernih pogodb, zaradi česar so nekateri strokovnjaki uporabnike opozorili, naj redno preklic soglasij. Sprednje strani večine aplikacij Web3 uporabnikom neposredno ne omogočajo urejanja količine odobrenih žetonov, zato uporabniki pogosto izgubijo celotno ravnotežje svojih žetonov, če se izkaže, da ima aplikacija varnostno napako. MetaMask in druge denarnice so poskušale odpraviti to težavo tako, da so uporabnikom omogočile urejanje odobritev žetonov v koraku potrditve denarnice, vendar se mnogi uporabniki kriptovalut še vedno ne zavedajo tveganja, če te funkcije ne uporabljajo.
Vir: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function