Шматланцуговы абменны агрэгатар Dexible пацярпеў ад эксплойта, у выніку чаго криптовалюта на суму 2 мільёны долараў была страчана, гаворыцца ў пасмяротнай справаздачы ад 17 лютага, апублікаванай камандай на афіцыйным серверы Discord праекта.
Па стане на 6:35 UTC 17 лютага інтэрфейс Dexible паказвае ўсплывальнае акно з папярэджаннем аб узломе кожны раз, калі карыстальнікі пераходзяць да яго.
У 6:17 па UTC каманда паведаміла, што выявіла «патэнцыйны ўзлом кантрактаў Dexible v2» і расследуе праблему. Прыкладна праз дзевяць гадзін ён апублікаваў другую заяву, у якой цяпер вядома, што «2,047,635.17 17 4 долараў ЗША былі выкрадзены з 13 адрасоў трэйдараў. XNUMX у асноўнай сетцы, XNUMX у арбітруме».
Справаздача аб пасмяротным аглядзе была апублікаваная ў 4:00 UTC у выглядзе файла PDF і апублікаваная на Discord, і каманда заявіла, што «актыўна працуе над планам выпраўлення».
У справаздачы каманда сцвярджае, што заўважыла, што нешта не так, калі ў аднаго з яе заснавальнікаў з кашалька была вывезена крыпта на 50,000 2 долараў па невядомых на той момант прычынах. Пасля расследавання каманда выявіла, што зламыснік выкарыстаў функцыю selfSwap праграмы для перамяшчэння крыпта на суму больш за XNUMX мільёны долараў ад карыстальнікаў, якія раней дазволілі праграме перамяшчаць свае токены.
Функцыя selfSwap дазваляла карыстальнікам прадастаўляць адрас маршрутызатара і даныя выкліку, звязаныя з ім, каб зрабіць замену аднаго токена іншым. Аднак у кодзе не было спісу папярэдне зацверджаных маршрутызатараў. Такім чынам, зламыснік выкарыстаў гэтую функцыю для маршрутызацыі транзакцыі ад Dexible да кожнага кантракту на токены, перамяшчаючы токены карыстальнікаў з іх кашалькоў у смарт-кантракт зламысніка. Паколькі гэтыя шкоднасныя транзакцыі ішлі ад Dexible, якому карыстальнікі ўжо дазволілі марнаваць свае токены, кантракты на токены не блакавалі транзакцыі.
Па тэме: Інфлюенсер NFT стаў ахвярай кібератакі, страціў 300 тысяч долараў+ CryptoPunks
Пасля атрымання токенаў ва ўласны смарт-кантракт зламыснік вывеў манеты праз Tornado Cash у невядомы BNB (НББ) кашалькі.
Dexible прыпыніў свае кантракты і заклікаў карыстальнікаў адклікаць для іх аўтарызацыі токенаў.
Распаўсюджаная практыка дазволу на зацвярджэнне токенаў на вялікія сумы часам прыводзіла да страт для карыстальнікаў крыптаграфіі з-за памылак або прама шкоднасных кантрактаў, у выніку чаго некаторыя эксперты папярэджвалі карыстальнікаў аб адклікаць узгадненні на рэгулярнай аснове. Інтэрфейс для большасці прыкладанняў Web3 не дазваляе карыстальнікам непасрэдна рэдагаваць колькасць зацверджаных токенаў, таму карыстальнікі часта губляюць поўны баланс сваіх токенаў, калі ў дадатку выяўляецца недахоп бяспекі. MetaMask і іншыя кашалькі паспрабавалі вырашыць гэтую праблему, дазволіўшы карыстальнікам рэдагаваць зацвярджэнне токенаў на этапе пацверджання кашалька, але многія карыстальнікі крыпта да гэтага часу не ведаюць аб рызыцы не выкарыстоўваць гэтую функцыю.
Крыніца: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function