Според посмртниот извештај објавен од тимот на официјалниот канал Discord на проектот на 17 февруари, агрегаторот за размена на повеќе синџири Dexible е компромитиран од експлоатација, а како директна последица е украден биткоин во вредност од 2 милиони долари.
Од 17 февруари, 6:35 UTC, предниот дел на Dexible прикажува скокачко предупредување за хакирањето секогаш кога корисниците ќе го посетат.
Тимот рече во 6:17 часот наутро UTC дека открил „можен хакирање на договорите со Dexible v2“ и дека во тоа време го разгледувал ова прашање. Второто соопштение беше издадено околу девет часа подоцна, во кое беше речено дека компанијата сега знае дека „2,047,635.17 долари биле експлоатирани од 17 трговски адреси“. 4 на mainnet, 13 на arbitrum.
Постмортален извештај беше даден како PDF-датотека во 4:00 часот UTC и беше достапен на Discord. Тимот, исто така, рече дека „во моментов работи на план за поправка“.
Организацијата во извештајот наведе дека станала свесна дека нешто не е во ред кога на еден од нејзините основачи му биле префрлени крипто средства во вредност од 50,000 долари од неговиот паричник од тогаш нејасни причини. Причините за овој потег тогаш беа непознати. По нивната истрага, тимот дојде до заклучок дека противникот ја искористил функцијата selfSwap на апликацијата за да украде криптовалута вредна речиси 2 милиони долари од корисници кои претходно дале дозвола за програмата да ги префрли нивните токени.
Корисниците можеа да направат размена на еден токен за друг користејќи ја функцијата selfSwap, која бараше од нив да ја дадат адресата на рутерот и податоците за повикување поврзани со него. Сепак, кодот не вклучува листа на рутери кои веќе биле прегледани и овластени. Со цел да ги премести токените на корисниците од нивните паричници во сопствениот паметен договор на напаѓачот, напаѓачот го користел овој метод за да насочи трансакција од Dexible до секој договор за токени. Договорите за токени не ги запреа овие потенцијално опасни трансакции бидејќи потекнуваат од Dexible, на кои корисниците веќе им дадоа дозвола да ги користат нивните токени.
Откако ги примил токените во сопствениот паметен договор, напаѓачот ги повлекол монетите користејќи Tornado Cash и ги ставил во паричници BNB (BNB) за кои не знаеле.
Извршувањето на договорите на Dexible е запрено, а компанијата побара од корисниците да ги повлечат своите токенски овластувања за такви договори.
Вообичаената практика на одобрување одобрувања за токени за големи количини понекогаш може да доведе до загуби за корисниците на криптовалути поради кабриолет или целосно злонамерни договори. Како резултат на тоа, некои индустриски експерти ги советуваат корисниците редовно да ги поништуваат одобренијата за да се заштитат од потенцијална финансиска штета. Бидејќи предните делови на повеќето апликации на Web3 не им дозволуваат експлицитно на корисниците да го менуваат бројот на доделени токени, корисниците често го губат целокупното салдо на токените ако се открие дека апликацијата има безбедносен проблем. Иако МетаМаск и другите паричници се обидоа да го решат овој проблем со овозможување на корисниците да ги менуваат одобренијата за токени за време на процесот на потврда на паричникот, поголемиот дел од корисниците на криптовалути сè уште не се информирани за потенцијалните последици од некористењето на оваа функција.
Извор: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack