Meeskonna poolt 17. veebruaril projekti ametlikul Discordi kanalil avaldatud surmajärgse aruande kohaselt on mitmeahelaline vahetusagregaator Dexible sattunud ärakasutamise tõttu ohtu ja selle otsese tagajärjena on varastatud 2 miljoni dollari väärtuses bitcoine.
Alates 17. veebruarist kell 6 (UTC) kuvatakse Dexible'i esiosas iga kord, kui kasutajad seda külastavad, häkkimise eest hoiatust.
Meeskond teatas kell 6 (UTC), et leidis "võimaliku häkkimise Dexible v17 lepingutesse" ja uuris sel ajal asja. Umbes üheksa tundi hiljem tehti teine avaldus, milles öeldi, et ettevõte teadis nüüd, et "2 kauplemisaadressil kasutati ära 2,047,635.17 17 4 dollarit." 13 võrgus, XNUMX arbitrumis.
Surmajärgne aruanne esitati PDF-failina kell 4 UTC ja see tehti Discordis kättesaadavaks. Meeskond ütles ka, et töötab praegu remondiplaani kallal.
Organisatsioon märkis raportis, et sai teada, et midagi on valesti, kui üks selle asutajatest lasi oma rahakotist välja kanda 50,000 2 dollari väärtuses krüptovarasid tol ajal ebaselgetel põhjustel. Selle kolimise põhjused olid tol ajal teadmata. Pärast uurimist jõudis meeskond järeldusele, et vastane oli kasutanud rakenduse selfSwap funktsiooni, et varastada peaaegu XNUMX miljoni dollari väärtuses krüptovaluutat kasutajatelt, kes olid varem andnud programmile loa oma žetoonide ülekandmiseks.
Kasutajad said ise vahetada ühe märgi teise vastu, kasutades selleks funktsiooni selfSwap, mis nõudis ruuteri aadressi ja sellega seotud kõneandmete esitamist. Kuid kood ei sisaldanud juba üle vaadatud ja volitatud ruuterite loendit. Kasutajate žetoonide teisaldamiseks nende rahakotist ründaja enda nutikasse lepingusse kasutas ründaja seda meetodit, et suunata tehing Dexible'ist iga märgilepingu juurde. Tokenite lepingud ei takistanud neid potentsiaalselt ohtlikke tehinguid, kuna need pärinesid Dexiblest, mille kasutajad olid juba andnud loa oma žetoone kasutada.
Pärast žetoonide saamist oma nutikasse lepingusse võttis ründaja mündid Tornado Cashi abil välja ja asetas need BNB (BNB) rahakottidesse, millest nad ei teadnud.
Dexible'i lepingute täitmine on peatatud ja ettevõte on nõudnud, et kasutajad võtaksid selliste lepingute jaoks loa tagasi.
Levinud tava lubada suurte summade jaoks märgi kinnitusi võib mõnikord põhjustada krüptovaluuta kasutajate jaoks kaotusi lollakate või otseste pahatahtlike lepingute tõttu. Seetõttu soovitavad mõned valdkonnaeksperdid kasutajatel oma kinnitused regulaarselt tühistada, et kaitsta end võimaliku rahalise kahju eest. Kuna enamiku Web3 rakenduste esiosad ei võimalda kasutajatel selgesõnaliselt antud märkide arvu muuta, kaotavad kasutajad sageli kogu oma märgi tasakaalu, kui avastatakse, et rakendusel on turvaprobleem. Kuigi MetaMask ja teised rahakotid on püüdnud seda probleemi lahendada, võimaldades kasutajatel rahakoti kinnitusprotsessi ajal loa kinnitusi muuta. Enamik krüptovaluuta kasutajaid ei ole endiselt kursis selle funktsiooni mittekasutamise võimalike tagajärgedega.
Allikas: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack