Згодна з пасмяротнай справаздачай, апублікаванай камандай на афіцыйным канале Discord праекта 17 лютага, агрэгатар шматланцуговых абменаў Dexible быў скампраметаваны эксплойтам, і, як прамое следства, біткойны на 2 мільёны долараў былі скрадзеныя.
Па стане на 17 лютага, 6:35 UTC, у інтэрфейсе Dexible адлюстроўваецца ўсплывальнае акно з папярэджаннем аб узломе кожны раз, калі карыстальнікі наведваюць яго.
Каманда заявіла ў 6:17 раніцы UTC, што выявіла «магчымы ўзлом кантрактаў Dexible v2» і разглядае гэтае пытанне ў той час. Прыкладна праз дзевяць гадзін была апублікаваная другая заява, у якой гаварылася, што цяпер кампанія ведае, што «2,047,635.17 17 4 долараў ЗША былі выкрадзены з 13 гандлёвых адрасоў». XNUMX у асноўнай сетцы, XNUMX у арбітруме».
Справаздача аб пасмяротным даследаванні была прадстаўлена ў выглядзе PDF-файла ў 4:00 UTC і даступная на Discord. Каманда таксама паведаміла, што «ў цяперашні час працуе над планам рамонту».
Арганізацыя заявіла ў справаздачы, што стала вядома, што нешта не так, калі адзін з яе заснавальнікаў перавёў крыпта-актывы на суму 50,000 2 долараў са свайго кашалька па прычынах, якія на той момант былі незразумелымі. Прычыны гэтага кроку на той момант былі невядомыя. Пасля расследавання каманда прыйшла да высновы, што непрыяцель выкарыстаў функцыю selfSwap прыкладання, каб скрасці криптовалюту на суму амаль XNUMX мільёны долараў у карыстальнікаў, якія раней далі дазвол праграме на перадачу іх токенаў.
Карыстальнікі маглі здзяйсняць абмен аднаго токена на іншы з дапамогай функцыі selfSwap, якая патрабавала ад іх прадастаўлення адраса маршрутызатара і звязаных з ім даных выкліку. Аднак код не ўключаў спіс маршрутызатараў, якія ўжо былі разгледжаны і аўтарызаваны. Каб перамясціць токены карыстальнікаў з іх кашалькоў у смарт-кантракт зламысніка, зламыснік выкарыстаў гэты метад для накіравання транзакцыі з Dexible на кожны кантракт токена. Кантракты на токены не спынілі гэтыя патэнцыйна небяспечныя транзакцыі, паколькі яны адбываліся з Dexible, якому карыстальнікі ўжо далі дазвол на выкарыстанне сваіх токенаў.
Атрымаўшы токены ў свой смарт-кантракт, зламыснік зняў манеты з дапамогай Tornado Cash і змясціў іх у кашалькі BNB (BNB), пра якія яны не ведалі.
Выкананне кантрактаў Dexible было спынена, і кампанія папрасіла карыстальнікаў адклікаць свае аўтарызацыі токенаў для такіх кантрактаў.
Звычайная практыка дазволу на зацвярджэнне токенаў на вялікія сумы часам можа прывесці да страт для карыстальнікаў крыптавалюты з-за памылак або шкоднасных кантрактаў. У выніку некаторыя галіновыя эксперты раяць карыстальнікам рэгулярна адклікаць дазволы, каб абараніць сябе ад патэнцыйнай фінансавай шкоды. Паколькі інтэрфейс большасці прыкладанняў Web3 відавочна не дазваляе карыстальнікам змяняць колькасць прадастаўленых токенаў, карыстальнікі часта губляюць увесь свой баланс токенаў, калі выяўляецца, што праграма мае праблемы з бяспекай. Хаця MetaMask і іншыя кашалькі спрабавалі вырашыць гэтую праблему, дазваляючы карыстальнікам змяняць зацвярджэнне токенаў падчас працэсу пацверджання кашалька, большасць карыстальнікаў крыптавалюты ўсё яшчэ не інфармаваныя аб патэнцыйных наступствах невыкарыстання гэтай функцыі.
Крыніца: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack