Saskaņā ar pēcnāves ziņojumu, ko komanda publicēja projekta oficiālajā Discord kanālā 17. februārī, daudzķēžu apmaiņas agregators Dexible ir apdraudēts ekspluatācijas rezultātā, un kā tiešas sekas ir nozagts bitkoīns 2 miljonu USD vērtībā.
No 17. februāra, 6:35 pēc UTC, Dexible priekšpusē tiek parādīts uznirstošais brīdinājums par uzlaušanu ikreiz, kad lietotāji to apmeklē.
6:17 pēc UTC komanda paziņoja, ka ir atradusi “iespējamu uzlaušanu Dexible v2 līgumos” un tobrīd izskatīja šo jautājumu. Apmēram deviņas stundas vēlāk tika izdots otrs paziņojums, kurā tika teikts, ka uzņēmums tagad zināja, ka "no 2,047,635.17 tirdzniecības adresēm tika izmantoti 17 4 13 USD." XNUMX tīklā, XNUMX arbitrāžā.
Pēcnāves ziņojums tika iesniegts kā PDF fails pulksten 4:00 UTC un bija pieejams vietnē Discord. Komanda arī teica, ka tā "pašlaik strādā pie remonta plāna".
Organizācija ziņojumā norādīja, ka tā uzzināja, ka kaut kas nav kārtībā, kad viens no tās dibinātājiem tobrīd neskaidru iemeslu dēļ no viņa maka bija izvedis kriptovalūtas aktīvus 50,000 2 USD vērtībā. Šīs kustības iemesli tolaik nebija zināmi. Pēc izmeklēšanas komanda nonāca pie secinājuma, ka pretinieks ir izmantojis lietotnes selfSwap funkciju, lai nozagtu kriptovalūtu gandrīz XNUMX miljonu ASV dolāru vērtībā no lietotājiem, kuri iepriekš bija atļāvuši programmai pārsūtīt savus marķierus.
Lietotāji varēja veikt apmaiņu ar vienu marķieri pret citu, izmantojot selfSwap funkciju, kas prasīja viņiem norādīt maršrutētāja adresi un ar to saistītos zvanu datus. Tomēr kodā nebija iekļauts to maršrutētāju saraksts, kuri jau bija pārskatīti un autorizēti. Lai pārvietotu lietotāju marķierus no viņu maka uz uzbrucēja viedo līgumu, uzbrucējs izmantoja šo metodi, lai novirzītu darījumu no Dexible uz katru marķiera līgumu. Žetonu līgumi neapturēja šos potenciāli bīstamos darījumus, jo tie radās no Dexible, kuram lietotāji jau bija devuši atļauju izmantot savus marķierus.
Pēc žetonu saņemšanas savā viedajā līgumā uzbrucējs izņēma monētas, izmantojot Tornado Cash, un ievietoja tās BNB (BNB) makos, par kuriem viņi nezināja.
Dexible līgumu izpilde ir apturēta, un uzņēmums ir pieprasījis lietotājiem atsaukt savas pilnvaras šādiem līgumiem.
Parastā prakse autorizēt marķieru apstiprinājumus lielām summām dažkārt var radīt zaudējumus kriptovalūtas lietotājiem kļūdainu vai tieši ļaunprātīgu līgumu dēļ. Rezultātā daži nozares eksperti iesaka lietotājiem regulāri atsaukt apstiprinājumus, lai pasargātu sevi no iespējamā finansiālā kaitējuma. Tā kā lielākās daļas Web3 lietojumprogrammu priekšējās daļas neļauj lietotājiem mainīt piešķirto marķieru skaitu, lietotāji bieži zaudē visu marķieru atlikumu, ja tiek atklāts, ka programmai ir drošības problēma. Lai gan MetaMask un citi maki ir mēģinājuši atrisināt šo problēmu, ļaujot lietotājiem mainīt marķieru apstiprinājumus maka apstiprināšanas procesa laikā, lielākā daļa kriptovalūtu lietotāju joprojām nav informēti par iespējamām sekām, ja šī funkcija neizmantos.
Avots: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack