Daudzķēžu apmaiņas agregators Dexible ir skāris ekspluatācijas rezultātā, un tā rezultātā tika zaudēta kriptovalūta 2 miljonu ASV dolāru vērtībā, teikts 17. februārī pēcnāves ziņojumā, ko komanda publicēja projekta oficiālajā Discord serverī.
No 6. februāra plkst. 35:17 pēc UTC Dexible priekšgalā tiek rādīts uznirstošais brīdinājums par uzlaušanu ikreiz, kad lietotāji uz to dodas.
6:17 pēc UTC komanda ziņoja, ka ir atklājusi “iespējamu uzlaušanu Dexible v2 līgumos” un izmeklē šo problēmu. Aptuveni deviņas stundas vēlāk tā publicēja otru paziņojumu, ka tagad zināja, ka “no 2,047,635.17 tirgotāju adresēm tika izmantoti 17 4 13 USD. XNUMX tīklā, XNUMX arbitrāžā.
Pēcnāves ziņojums tika izdots pulksten 4:00 pēc UTC kā PDF fails un publicēts vietnē Discord, un komanda paziņoja, ka tā "aktīvi strādā pie sanācijas plāna".
Ziņojumā komanda norāda, ka tā bija pamanījusi, ka kaut kas nav kārtībā, kad viens no tās dibinātājiem tobrīd nezināmu iemeslu dēļ no sava maka izņēma kriptovalūtu USD 50,000 2 vērtībā. Pēc izmeklēšanas komanda atklāja, ka uzbrucējs ir izmantojis lietotnes selfSwap funkciju, lai pārvietotu vairāk nekā XNUMX miljonus ASV dolāru vērtu kriptovalūtu no lietotājiem, kuri iepriekš bija pilnvarojuši lietotni pārvietot savus marķierus.
SelfSwap funkcija ļāva lietotājiem norādīt maršrutētāja adresi un ar to saistītos zvanu datus, lai veiktu vienas marķiera apmaiņu pret citu. Tomēr kodā nebija ierakstīts iepriekš apstiprināto maršrutētāju saraksts. Tātad uzbrucējs izmantoja šo funkciju, lai novirzītu darījumu no Dexible uz katru marķiera līgumu, pārvietojot lietotāju marķierus no viņu maka uz paša uzbrucēja viedo līgumu. Tā kā šie ļaunprātīgie darījumi nāca no Dexible, kuru lietotāji jau bija pilnvarojuši tērēt savus marķierus, marķieru līgumi nebloķēja darījumus.
Saistītie: NFT ietekmētājs kļūst par kiberuzbrukuma upuri, zaudē 300 XNUMX USD+ CryptoPunks
Pēc žetonu saņemšanas savā viedajā līgumā uzbrucējs ar Tornado Cash palīdzību izņēma monētas nezināmā BNB (BNB) maki.
Dexible ir apturējis savus līgumus un mudināja lietotājus atsaukt tiem piešķirtās pilnvaras.
Izplatītā prakse pilnvarot marķieru apstiprinājumus lielām summām dažkārt ir radījusi zaudējumus kriptovalūtu lietotājiem kļūdainu vai tieši ļaunprātīgu līgumu dēļ, kā rezultātā daži eksperti brīdina lietotājus regulāri atsaukt apstiprinājumus. Lielākajai daļai Web3 lietotņu priekšgals tieši neļauj lietotājiem rediģēt apstiprināto marķieru daudzumu, tāpēc lietotāji bieži zaudē pilnu marķieru atlikumu, ja izrādās, ka lietotnei ir drošības trūkums. MetaMask un citi maki ir mēģinājuši novērst šo problēmu, ļaujot lietotājiem rediģēt marķiera apstiprinājumus maka apstiprināšanas solī, taču daudzi kriptovalūtu lietotāji joprojām neapzinās risku neizmantot šo funkciju.
Avots: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function