Multichain-udvekslingsaggregatoren Dexible er blevet ramt af en udnyttelse, og cryptocurrency til en værdi af $2 millioner er gået tabt som et resultat, ifølge en post-mortem-rapport den 17. februar udgivet af holdet på projektets officielle Discord-server.
Fra kl. 6 UTC den 35. februar viser Dexible-frontenden en popup-advarsel om hacket, hver gang brugere navigerer til det.
Klokken 6:17 UTC rapporterede holdet, at det havde opdaget "et potentielt hack på Dexible v2-kontrakter" og undersøgte problemet. Cirka ni timer senere udgav den en anden erklæring om, at den nu vidste "2,047,635.17 $ blev udnyttet fra 17 forhandleradresser. 4 på mainnet, 13 på arbitrum."
En obduktionsrapport blev udsendt kl. 4:00 UTC som en PDF-fil og udgivet på Discord, og holdet sagde, at det "aktivt arbejdede på en afhjælpningsplan."
I rapporten oplyser holdet, at det havde bemærket, at noget var galt, da en af dets grundlæggere fik 50,000 dollars i krypto flyttet ud af sin pung af årsager, der var ukendte på det tidspunkt. Efter at have undersøgt, fandt holdet ud af, at en angriber havde brugt appens selfSwap-funktion til at flytte kryptoværdi for over $2 millioner fra brugere, der tidligere havde autoriseret appen til at flytte deres tokens.
SelfSwap-funktionen gjorde det muligt for brugere at angive adressen på en router og opkaldsdata knyttet til den for at foretage et swap af et token med et andet. Der var dog ingen liste over forhåndsgodkendte routere skrevet ind i koden. Så angriberen brugte denne funktion til at dirigere en transaktion fra Dexible til hver token-kontrakt og flyttede brugernes tokens fra deres tegnebøger til angriberens egen smarte kontrakt. Fordi disse ondsindede transaktioner kom fra Dexible, som brugere allerede havde autoriseret til at bruge deres tokens, blokerede token-kontrakterne ikke for transaktionerne.
Relateret: NFT influencer bliver offer for cyberangreb, mister $300K+ CryptoPunks
Efter at have modtaget tokens i deres egen smarte kontrakt, trak angriberen mønterne tilbage gennem Tornado Cash til ukendt BNB (BNB) tegnebøger.
Dexible har sat sine kontrakter på pause og opfordret brugerne til at tilbagekalde token-autorisationer for dem.
Den almindelige praksis med at godkende token-godkendelser for store beløb har nogle gange ført til tab for kryptobrugere på grund af buggy eller direkte ondsindede kontrakter, hvilket har fået nogle eksperter til at advare brugerne om at tilbagekalde godkendelser med jævne mellemrum. Frontends for de fleste Web3-apps tillader ikke direkte brugere at redigere mængden af godkendte tokens, så brugere mister ofte den fulde saldo af deres tokens, hvis en app viser sig at have en sikkerhedsfejl. MetaMask og andre tegnebøger har forsøgt at løse dette problem ved at tillade brugere at redigere token-godkendelser på tegnebogens bekræftelsestrin, men mange kryptobrugere er stadig uvidende om risikoen ved ikke at bruge denne funktion.
Kilde: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function