Enligt en obduktionsrapport publicerad av teamet på projektets officiella Discord-kanal den 17 februari, har multikedjeutbytesaggregatet Dexible äventyrats av en exploatering, och som en direkt följd har bitcoin för 2 miljoner dollar stulits.
Från och med den 17 februari, 6:35 UTC, visar frontänden av Dexible en popup-varning om hacket när användare besöker det.
Teamet sa klockan 6:17 UTC att de hade hittat "ett möjligt hack på Dexible v2-kontrakt" och undersökte saken vid den tidpunkten. Ett andra uttalande utfärdades cirka nio timmar senare, där det sades att företaget nu visste att "$2,047,635.17 17 4 utnyttjades från 13 handelsadresser." XNUMX på mainnet, XNUMX på arbitrum.”
En obduktionsrapport tillhandahölls som en PDF-fil klockan 4:00 UTC och gjordes tillgänglig på Discord. Teamet sa också att de "för närvarande arbetar på en reparationsplan."
Organisationen uppgav i rapporten att den blev medveten om att något var fel när en av dess grundare fick kryptotillgångar värda $50,000 2 överförda från sin plånbok av skäl som var oklara vid den tiden. Orsakerna till denna flytt var okända vid den tidpunkten. Efter sin undersökning kom teamet till slutsatsen att en motståndare hade använt selfSwap-funktionen i appen för att stjäla kryptovaluta till ett värde av nästan XNUMX miljoner dollar från användare som tidigare hade gett tillstånd till programmet att överföra sina tokens.
Användare kunde byta en token mot en annan genom att använda selfSwap-funktionen, som krävde att de angav adressen till en router och samtalsdata kopplade till den. Koden innehöll dock inte en lista över routrar som redan hade granskats och auktoriserats. För att flytta användarnas tokens från deras plånböcker till angriparens eget smarta kontrakt, använde angriparen denna metod för att dirigera en transaktion från Dexible till varje tokenkontrakt. Token-kontrakt satte inte stopp för dessa potentiellt farliga transaktioner eftersom de härrörde från Dexible, som användare redan hade gett tillstånd att använda sina tokens.
Efter att ha tagit emot tokens i sitt eget smarta kontrakt, drog angriparen ut mynten med Tornado Cash och placerade dem i BNB (BNB) plånböcker som de inte kände till.
Utförandet av Dexibles kontrakt har stoppats och företaget har begärt att användare drar tillbaka sina token-behörigheter för sådana kontrakt.
Den vanliga metoden att godkänna tokengodkännanden för stora belopp kan ibland leda till förluster för kryptovalutanvändare på grund av buggiga eller direkt skadliga kontrakt. Som ett resultat råder vissa branschexperter användare att regelbundet återkalla godkännanden för att skydda sig mot potentiell ekonomisk skada. Eftersom gränssnitten för de flesta Web3-applikationer inte uttryckligen tillåter användare att ändra antalet beviljade tokens, förlorar användare ofta hela sitt tokensaldo om det upptäcks att en app har ett säkerhetsproblem. Fastän MetaMask och andra plånböcker har försökt lösa detta problem genom att tillåta användare att ändra tokengodkännanden under plånbokens bekräftelseprocess, majoriteten av kryptovalutanvändare är fortfarande oinformerade om de potentiella konsekvenserna av att inte använda denna funktion.
Källa: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack