Mitmeahelalist vahetusagregaatorit Dexible tabas ärakasutamine ja selle tagajärjel on kaotatud 2 miljoni dollari väärtuses krüptovaluutat, selgub 17. veebruari surmajärgsest aruandest, mille meeskond avaldas projekti ametlikus Discordi serveris.
Alates 6. veebruaril kell 35 (UTC) kuvab Dexible esiosa häkkimise kohta hüpikakna, kui kasutajad sellele navigeerivad.
Kell 6 UTC teatas meeskond, et on avastanud "potentsiaalse häkkimise Dexible v17 lepingutes" ja uurib seda probleemi. Umbes üheksa tundi hiljem avaldas ta teise avalduse, et nüüd teadis, et 2 kaupleja aadressilt kasutati ära 2,047,635.17 17 4 dollarit. 13 võrgus, XNUMX arbitrumis.
Surmajärgne aruanne väljastati kell 4 (UTC) PDF-failina ja avaldati Discordis ning meeskond ütles, et töötab aktiivselt parandusplaani kallal.
Aruandes märgib meeskond, et oli märganud, et midagi on valesti, kui üks selle asutajatest lasi oma rahakotist välja kolida 50,000 2 dollari väärtuses krüptoraha sel ajal teadmata põhjustel. Pärast uurimist leidis meeskond, et ründaja oli kasutanud rakenduse selfSwap funktsiooni, et teisaldada üle XNUMX miljoni dollari väärtuses krüptoraha kasutajatelt, kes olid varem andnud rakendusele loa oma žetoonide teisaldamiseks.
SelfSwap-funktsioon võimaldas kasutajatel esitada ruuteri aadressi ja sellega seotud kõneandmed, et vahetada üks token teise vastu. Siiski ei olnud koodi sisse kirjutatud eelkinnitatud ruuterite loendit. Seega kasutas ründaja seda funktsiooni, et suunata Dexible'ist tehing igale märgilepingule, teisaldades kasutajate märgid nende rahakotist ründaja enda nutikasse lepingusse. Kuna need pahatahtlikud tehingud pärinesid Dexiblest, mille kasutajad olid juba lubanud oma žetoone kulutada, ei blokeerinud märgilepingud tehinguid.
Seotud: NFT mõjutaja langeb küberrünnaku ohvriks, kaotab $300 XNUMX+ CryptoPunks
Pärast žetoonide saamist oma nutikasse lepingusse võttis ründaja mündid Tornado Cashi kaudu tundmatusse BNB-sse (BNB) rahakotid.
Dexible on oma lepingud peatanud ja kutsunud kasutajaid üles tühistama nende lubade volitused.
Levinud tava lubada lubade heakskiitmine suurte summade jaoks on mõnikord toonud krüptokasutajate jaoks kaasa kaotusi lollakate või otseste pahatahtlike lepingute tõttu, mistõttu on mõned eksperdid kasutajaid hoiatanud kinnitusi regulaarselt tühistada. Enamiku Web3 rakenduste esiotsad ei võimalda kasutajatel otseselt heakskiidetud žetoonide hulka muuta, mistõttu kasutajad kaotavad sageli oma žetoonide täieliku tasakaalu, kui rakenduses ilmneb turvaviga. MetaMask ja teised rahakotid on püüdnud seda probleemi lahendada, lubades kasutajatel rahakoti kinnitamise etapis žetoonide kinnitusi redigeerida, kuid paljud krüptokasutajad pole endiselt teadlikud selle funktsiooni kasutamata jätmise ohust.
Allikas: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function