Multichain Exchange-aggregatorn Dexible har drabbats av en exploatering, och 2 miljoner dollar i kryptovaluta har förlorats som ett resultat, enligt en obduktionsrapport den 17 februari som släpptes av teamet på projektets officiella Discord-server.
Från och med 6:35 UTC den 17 februari visar Dexible-gränssnittet en popup-varning om hacket när användare navigerar till det.
Klockan 6:17 UTC rapporterade teamet att de hade upptäckt "ett potentiellt hack på Dexible v2-kontrakt" och undersökte problemet. Ungefär nio timmar senare släppte den ett andra uttalande om att det nu visste att "2,047,635.17 17 4 USD utnyttjades från 13 handlaradresser. XNUMX på mainnet, XNUMX på arbitrum.”
En obduktionsrapport utfärdades klockan 4:00 UTC som en PDF-fil och släpptes på Discord, och teamet sa att de "aktivt arbetade med en saneringsplan."
I rapporten uppger teamet att det hade märkt att något var fel när en av dess grundare fick krypto för 50,000 2 $ flyttad ur sin plånbok av skäl som var okända vid den tiden. Efter att ha undersökt, fann teamet att en angripare hade använt appens selfSwap-funktion för att flytta krypto för över XNUMX miljoner USD från användare som tidigare hade auktoriserat appen att flytta sina tokens.
SelfSwap-funktionen gjorde det möjligt för användare att ange adressen till en router och samtalsdata som är associerade med den för att göra ett byte av en token mot en annan. Det fanns dock ingen lista över förgodkända routrar inskriven i koden. Så angriparen använde den här funktionen för att dirigera en transaktion från Dexible till varje tokenkontrakt, och flyttade användarnas tokens från deras plånböcker till angriparens eget smarta kontrakt. Eftersom dessa skadliga transaktioner kom från Dexible, som användare redan hade godkänt att spendera sina tokens, blockerade inte tokenkontrakten transaktionerna.
Relaterat: NFT influencer faller offer för cyberattack, förlorar $300K+ CryptoPunks
Efter att ha tagit emot tokens i sitt eget smarta kontrakt, drog angriparen ut mynten genom Tornado Cash till okänd BNB (BNB) plånböcker.
Dexible har pausat sina kontrakt och uppmanat användare att återkalla token-auktoriseringar för dem.
Den vanliga praxisen att godkänna tokengodkännanden för stora belopp har ibland lett till förluster för kryptoanvändare på grund av buggiga eller direkt skadliga kontrakt, vilket leder till att vissa experter varnar användare för att återkalla godkännanden regelbundet. Gränssnitten för de flesta Web3-appar tillåter inte direkt användare att redigera antalet godkända tokens, så användare förlorar ofta hela saldot på sina tokens om en app visar sig ha ett säkerhetsbrist. MetaMask och andra plånböcker har försökt åtgärda detta problem genom att tillåta användare att redigera token-godkännanden vid bekräftelsesteget för plånboken, men många kryptoanvändare är fortfarande omedvetna om risken att inte använda den här funktionen.
Källa: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function