Remiantis pomirtiniu pranešimu, kurį komanda paskelbė oficialiame projekto Discord kanale vasario 17 d., kelių grandinių mainų agregatorius Dexible buvo pažeistas dėl išnaudojimo ir dėl to buvo pavogta 2 milijonų dolerių vertės bitkoino.
Vasario 17 d., 6 val. UTC, Dexible priekinėje dalyje rodomas iššokantis įspėjimas apie įsilaužimą, kai naudotojai ją aplanko.
6 val. UTC komanda pranešė, kad nustatė „galimą įsilaužimą į Dexible v17 sutartis“ ir tuo metu nagrinėjo šį klausimą. Maždaug po devynių valandų buvo paskelbtas antrasis pareiškimas, kuriame buvo teigiama, kad bendrovė dabar žino, kad „2 2,047,635.17 17 USD buvo išnaudota iš 4 prekybos adresų“. 13 tinkle, XNUMX arbitraže.
Pomirtinė ataskaita buvo pateikta PDF formatu 4:00 UTC ir paskelbta Discord. Komanda taip pat teigė, kad „šiuo metu rengia remonto planą“.
Organizacija ataskaitoje nurodė, kad ji sužinojo, kad kažkas negerai, kai vienam iš jos įkūrėjų dėl tuo metu neaiškių priežasčių iš piniginės buvo perkeltas 50,000 2 USD vertės kriptovaliutų turtas. Šio žingsnio priežastys tuo metu nebuvo žinomos. Po tyrimo komanda priėjo prie išvados, kad priešas pasinaudojo programėlės „selfSwap“ funkcija, kad pavogtų beveik XNUMX mln. USD vertės kriptovaliutą iš vartotojų, kurie anksčiau davė programai leidimą perkelti savo žetonus.
Vartotojai galėjo pakeisti vieną žetoną į kitą naudodamiesi funkcija „selfSwap“, kuri reikalauja pateikti maršrutizatoriaus adresą ir su juo susijusius skambučio duomenis. Tačiau kode nebuvo maršrutizatorių, kurie jau buvo peržiūrėti ir įgalioti, sąrašo. Siekdamas perkelti vartotojų žetonus iš jų piniginės į paties užpuoliko išmaniąją sutartį, užpuolikas panaudojo šį metodą, kad nukreiptų operaciją iš Dexible į kiekvieną žetonų sutartį. Žetonų sutartys nesustabdė šių potencialiai pavojingų operacijų, nes jos kilo iš Dexible, kuriai vartotojai jau buvo davę leidimą naudoti savo žetonus.
Gavęs žetonus į savo išmaniąją sutartį, užpuolikas išėmė monetas naudodamasis „Tornado Cash“ ir įdėjo jas į BNB (BNB) pinigines, apie kurias nežinojo.
„Dexible“ sutarčių vykdymas buvo sustabdytas, o bendrovė paprašė, kad vartotojai atšauktų tokių sutarčių ženklinius įgaliojimus.
Įprasta žetonų patvirtinimo didelėms sumoms praktika kartais gali sukelti nuostolių kriptovaliutų naudotojams dėl klaidingų ar tiesioginių kenkėjiškų sutarčių. Todėl kai kurie pramonės ekspertai pataria vartotojams reguliariai atšaukti patvirtinimus, kad apsisaugotų nuo galimos finansinės žalos. Kadangi daugumos Web3 programų priekinės dalys aiškiai neleidžia vartotojams keisti suteiktų prieigos raktų skaičiaus, vartotojai dažnai praranda visą prieigos raktų likutį, jei aptinkama, kad programoje yra saugos problema. Nors MetaMask ir kitos piniginės bandė išspręsti šią problemą, leisdamos vartotojams pakeisti žetonų patvirtinimus piniginės patvirtinimo proceso metu, tačiau dauguma kriptovaliutų vartotojų vis dar nėra informuoti apie galimas pasekmes, jei nesinaudos šia funkcija.
Šaltinis: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack