Σύμφωνα με μια μεταθανάτια αναφορά που δημοσιεύτηκε από την ομάδα στο επίσημο κανάλι Discord του έργου στις 17 Φεβρουαρίου, ο συναθροιστής ανταλλαγής πολλαπλών αλυσίδων Dexible έχει παραβιαστεί από μια εκμετάλλευση και ως άμεση συνέπεια, κλάπηκε bitcoin αξίας 2 εκατομμυρίων δολαρίων.
Από τις 17 Φεβρουαρίου, 6:35 μ.μ. UTC, το μπροστινό μέρος του Dexible εμφανίζει ένα αναδυόμενο παράθυρο προειδοποίησης σχετικά με το hack όποτε το επισκέπτονται οι χρήστες.
Η ομάδα είπε στις 6:17 π.μ. UTC ότι είχε βρει «ένα πιθανό hack σε συμβόλαια Dexible v2» και ερευνούσε το θέμα εκείνη τη στιγμή. Μια δεύτερη δήλωση εκδόθηκε περίπου εννέα ώρες αργότερα, στην οποία ειπώθηκε ότι η εταιρεία γνώριζε πλέον ότι «2,047,635.17 $ είχαν εκμεταλλευτεί από 17 διευθύνσεις συναλλαγών». 4 στο mainnet, 13 στο arbitrum."
Μια μεταθανάτια αναφορά παρασχέθηκε ως αρχείο PDF στις 4:00 μ.μ. UTC και έγινε διαθέσιμη στο Discord. Η ομάδα είπε επίσης ότι «επεξεργάζεται επί του παρόντος ένα σχέδιο επισκευής».
Ο οργανισμός ανέφερε στην έκθεση ότι συνειδητοποίησε ότι κάτι δεν πήγαινε καλά όταν ένας από τους ιδρυτές του μεταφέρθηκαν από το πορτοφόλι του περιουσιακά στοιχεία κρυπτογράφησης αξίας 50,000 δολαρίων για λόγους που ήταν ασαφείς εκείνη την εποχή. Οι λόγοι αυτής της κίνησης ήταν άγνωστοι εκείνη τη στιγμή. Μετά την έρευνά τους, η ομάδα κατέληξε στο συμπέρασμα ότι ένας αντίπαλος είχε χρησιμοποιήσει τη δυνατότητα selfSwap της εφαρμογής για να κλέψει κρυπτονομίσματα αξίας σχεδόν 2 εκατομμυρίων δολαρίων από χρήστες που είχαν δώσει προηγουμένως άδεια στο πρόγραμμα να μεταφέρει τα διακριτικά τους.
Οι χρήστες μπόρεσαν να κάνουν μια ανταλλαγή ενός διακριτικού με ένα άλλο χρησιμοποιώντας τη συνάρτηση selfSwap, η οποία τους απαιτούσε να παρέχουν τη διεύθυνση ενός δρομολογητή και τα δεδομένα κλήσης που συνδέονται με αυτόν. Ωστόσο, ο κωδικός δεν περιλάμβανε λίστα δρομολογητών που είχαν ήδη ελεγχθεί και εξουσιοδοτηθεί. Προκειμένου να μετακινηθούν τα διακριτικά των χρηστών από τα πορτοφόλια τους στο έξυπνο συμβόλαιο του εισβολέα, ο εισβολέας χρησιμοποίησε αυτή τη μέθοδο για να δρομολογήσει μια συναλλαγή από το Dexible σε κάθε συμβόλαιο διακριτικού. Τα συμβόλαια Token δεν σταμάτησαν αυτές τις δυνητικά επικίνδυνες συναλλαγές, καθώς προέρχονταν από την Dexible, στην οποία οι χρήστες είχαν ήδη δώσει άδεια να χρησιμοποιήσουν τα διακριτικά τους.
Αφού έλαβε τα μάρκες στο δικό του έξυπνο συμβόλαιο, ο εισβολέας απέσυρε τα νομίσματα χρησιμοποιώντας το Tornado Cash και τα τοποθέτησε σε πορτοφόλια BNB (BNB) για τα οποία δεν γνώριζε.
Η εκτέλεση των συμβολαίων της Dexible έχει διακοπεί και η εταιρεία ζήτησε από τους χρήστες να αποσύρουν τις συμβολικές εξουσιοδοτήσεις τους για τέτοιες συμβάσεις.
Η κοινή πρακτική της εξουσιοδότησης εγκρίσεων διακριτικών για μεγάλα ποσά μπορεί μερικές φορές να οδηγήσει σε απώλειες για τους χρήστες κρυπτονομισμάτων λόγω σφαλμάτων ή απροκάλυπτων κακόβουλων συμβολαίων. Ως αποτέλεσμα, ορισμένοι ειδικοί του κλάδου συμβουλεύουν τους χρήστες να ανακαλούν τακτικά τις εγκρίσεις για να προστατεύονται από πιθανή οικονομική βλάβη. Επειδή οι διεπαφές της πλειονότητας των εφαρμογών Web3 δεν επιτρέπουν στους χρήστες να αλλάξουν ρητά τον αριθμό των διακριτικών που χορηγούνται, οι χρήστες συχνά χάνουν ολόκληρο το υπόλοιπο των διακριτικών τους, εάν ανακαλυφθεί ότι μια εφαρμογή έχει πρόβλημα ασφαλείας. Αν και MetaMask και άλλα πορτοφόλια προσπάθησαν να λύσουν αυτό το ζήτημα επιτρέποντας στους χρήστες να αλλάξουν τις εγκρίσεις διακριτικών κατά τη διαδικασία επιβεβαίωσης του πορτοφολιού, η πλειονότητα των χρηστών κρυπτονομισμάτων εξακολουθεί να μην έχει ενημερωθεί για τις πιθανές συνέπειες της μη χρήσης αυτής της λειτουργίας.
Πηγή: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack