Ifølge en obduktionsrapport offentliggjort af holdet på den officielle Discord-kanal for projektet den 17. februar, er multichain-udvekslingsaggregatoren Dexible blevet kompromitteret af en udnyttelse, og som en direkte konsekvens er bitcoin til en værdi af $2 millioner blevet stjålet.
Fra den 17. februar kl. 6:35 UTC viser frontenden af Dexible en popup-advarsel om hacket, hver gang brugere besøger det.
Holdet sagde kl. 6:17 UTC, at det havde fundet "et muligt hack på Dexible v2-kontrakter" og undersøgte sagen på det tidspunkt. En anden erklæring blev udsendt omkring ni timer senere, hvori det blev sagt, at virksomheden nu vidste, at "$2,047,635.17 blev udnyttet fra 17 handelsadresser." 4 på mainnet, 13 på arbitrum."
En obduktionsrapport blev leveret som PDF-fil kl. 4:00 UTC og gjort tilgængelig på Discord. Holdet sagde også, at det "i øjeblikket arbejder på en reparationsplan."
Organisationen oplyste i rapporten, at den blev opmærksom på, at der var noget galt, da en af dens grundlæggere fik overført kryptoaktiver til en værdi af $50,000 fra sin pung af årsager, der var uklare på det tidspunkt. Årsagerne til denne flytning var ukendte på det tidspunkt. Efter deres undersøgelse kom holdet til den konklusion, at en modstander havde brugt appens selfSwap-funktion til at stjæle cryptocurrency for næsten $2 millioner fra brugere, der tidligere havde givet tilladelse til, at programmet kunne overføre deres tokens.
Brugere var i stand til at bytte et token til et andet ved at bruge selfSwap-funktionen, som krævede, at de oplyste adressen på en router og de opkaldsdata, der var forbundet med den. Koden indeholdt dog ikke en liste over routere, der allerede var blevet gennemgået og godkendt. For at flytte brugernes tokens fra deres tegnebøger til angriberens egen smarte kontrakt, brugte angriberen denne metode til at dirigere en transaktion fra Dexible til hver token-kontrakt. Token-kontrakter satte ikke en stopper for disse potentielt farlige transaktioner, da de stammede fra Dexible, som brugere allerede havde givet tilladelse til at bruge deres tokens.
Efter at have modtaget tokens i deres egen smarte kontrakt, trak angriberen mønterne tilbage ved hjælp af Tornado Cash og placerede dem i BNB (BNB) tegnebøger, som de ikke var klar over.
Eksekveringen af Dexibles kontrakter er blevet standset, og virksomheden har anmodet brugerne om at trække deres token-autorisationer til sådanne kontrakter tilbage.
Den almindelige praksis med at godkende token-godkendelser for store beløb kan nogle gange føre til tab for cryptocurrency-brugere på grund af buggy eller direkte ondsindede kontrakter. Som et resultat råder nogle brancheeksperter brugere til regelmæssigt at tilbagekalde godkendelser for at beskytte sig selv mod potentiel økonomisk skade. Fordi frontends af størstedelen af Web3-applikationer ikke eksplicit lader brugere ændre antallet af tildelte tokens, mister brugere ofte hele deres token-saldo, hvis det opdages, at en app har et sikkerhedsproblem. Selvom MetaMask og andre tegnebøger har forsøgt at løse dette problem ved at give brugerne mulighed for at ændre token-godkendelser under wallet-bekræftelsesprocessen, er størstedelen af cryptocurrency-brugere stadig uinformeret om de potentielle konsekvenser af ikke at bruge denne funktion.
Kilde: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack