Ο συσσωρευτής ανταλλαγής πολλαπλών αλυσίδων Dexible επλήγη από μια εκμετάλλευση και ως αποτέλεσμα χάθηκαν κρυπτονομίσματα αξίας 2 εκατομμυρίων δολαρίων, σύμφωνα με μια μεταθανάτια έκθεση της 17ης Φεβρουαρίου που κυκλοφόρησε από την ομάδα στον επίσημο διακομιστή Discord του έργου.
Από τις 6:35 μ.μ. UTC στις 17 Φεβρουαρίου, η πρόσοψη του Dexible εμφανίζει ένα αναδυόμενο παράθυρο που προειδοποιεί για την εισβολή κάθε φορά που οι χρήστες πλοηγούνται σε αυτό.
Στις 6:17 π.μ. UTC, η ομάδα ανέφερε ότι είχε ανακαλύψει «ένα πιθανό hack σε συμβόλαια Dexible v2» και διερευνούσε το ζήτημα. Περίπου εννέα ώρες αργότερα, κυκλοφόρησε μια δεύτερη δήλωση ότι τώρα γνώριζε ότι «2,047,635.17 $ έγιναν αντικείμενο εκμετάλλευσης από 17 διευθύνσεις εμπόρων. 4 στο mainnet, 13 στο arbitrum."
Μια μεταθανάτια αναφορά εκδόθηκε στις 4:00 μ.μ. UTC ως αρχείο PDF και κυκλοφόρησε στο Discord και η ομάδα είπε ότι «εργαζόταν ενεργά σε ένα σχέδιο αποκατάστασης».
Στην έκθεση, η ομάδα δηλώνει ότι παρατήρησε ότι κάτι δεν πήγαινε καλά όταν ένας από τους ιδρυτές της είχε αφαιρέσει από το πορτοφόλι του κρυπτονομίσματα αξίας 50,000 δολαρίων για άγνωστους μέχρι τότε λόγους. Μετά από έρευνα, η ομάδα διαπίστωσε ότι ένας εισβολέας είχε χρησιμοποιήσει τη λειτουργία selfSwap της εφαρμογής για να μετακινήσει κρυπτογράφηση αξίας άνω των 2 εκατομμυρίων δολαρίων από χρήστες που είχαν προηγουμένως εξουσιοδοτήσει την εφαρμογή να μετακινεί τα μάρκά τους.
Η συνάρτηση selfSwap επέτρεπε στους χρήστες να παρέχουν τη διεύθυνση ενός δρομολογητή και τα δεδομένα κλήσεων που σχετίζονται με αυτόν για να κάνουν μια εναλλαγή ενός διακριτικού με ένα άλλο. Ωστόσο, δεν υπήρχε λίστα προεγκεκριμένων δρομολογητών γραμμένη στον κώδικα. Έτσι, ο εισβολέας χρησιμοποίησε αυτή τη λειτουργία για να δρομολογήσει μια συναλλαγή από το Dexible σε κάθε συμβόλαιο διακριτικού, μεταφέροντας τα διακριτικά των χρηστών από τα πορτοφόλια τους στο έξυπνο συμβόλαιο του εισβολέα. Επειδή αυτές οι κακόβουλες συναλλαγές προέρχονταν από το Dexible, το οποίο οι χρήστες είχαν ήδη εξουσιοδοτήσει να ξοδεύουν τα διακριτικά τους, τα συμβόλαια κουπονιών δεν μπλοκάρουν τις συναλλαγές.
Συγγενεύων: Ο επηρεαστής NFT πέφτει θύμα κυβερνοεπίθεσης, χάνει $300+ CryptoPunks
Αφού έλαβε τα μάρκες στο δικό του έξυπνο συμβόλαιο, ο εισβολέας απέσυρε τα νομίσματα μέσω του Tornado Cash σε άγνωστο BNB (BNB) πορτοφόλια.
Η Dexible έχει διακόψει τα συμβόλαιά της και προέτρεψε τους χρήστες να ανακαλέσουν τις εξουσιοδοτήσεις διακριτικών για αυτούς.
Η κοινή πρακτική της εξουσιοδότησης εγκρίσεων διακριτικών για μεγάλα ποσά έχει οδηγήσει μερικές φορές σε απώλειες για τους χρήστες κρυπτογράφησης λόγω σφαλμάτων ή απροκάλυπτων κακόβουλων συμβολαίων, με αποτέλεσμα ορισμένοι ειδικοί να προειδοποιούν τους χρήστες να ανακαλούν εγκρίσεις σε τακτική βάση. Οι διεπαφές των περισσότερων εφαρμογών Web3 δεν επιτρέπουν στους χρήστες να επεξεργάζονται απευθείας τον αριθμό των κουπονιών που έχουν εγκριθεί, επομένως οι χρήστες συχνά χάνουν το πλήρες υπόλοιπο των κουπονιών τους εάν αποδειχθεί ότι μια εφαρμογή έχει ελάττωμα ασφαλείας. Το MetaMask και άλλα πορτοφόλια προσπάθησαν να διορθώσουν αυτό το πρόβλημα επιτρέποντας στους χρήστες να επεξεργάζονται εγκρίσεις διακριτικών στο βήμα επιβεβαίωσης του πορτοφολιού, αλλά πολλοί χρήστες κρυπτογράφησης εξακολουθούν να αγνοούν τον κίνδυνο μη χρήσης αυτής της δυνατότητας.
Πηγή: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function