Daugiagrandžių mainų agregatorius „Dexible“ nukentėjo nuo išnaudojimo ir dėl to buvo prarasta 2 milijonų dolerių vertės kriptovaliuta, teigiama vasario 17 d. pomirtinėje ataskaitoje, kurią komanda paskelbė oficialiame projekto „Discord“ serveryje.
Vasario 6 d. 35 val. UTC Dexible priekinėje dalyje rodomas iššokantis įspėjimas apie įsilaužimą, kai naudotojai į jį patenka.
6 val. UTC komanda pranešė, kad aptiko „galimą įsilaužimą į Dexible v17 sutartis“ ir tiria problemą. Maždaug po devynių valandų ji paskelbė antrą pareiškimą, kad dabar žino, kad „2 2,047,635.17 17 USD buvo išnaudota iš 4 prekybininkų adresų. 13 tinkle, XNUMX arbitraže.
Pomirtinė ataskaita buvo paskelbta 4:00 UTC kaip PDF failas ir išleista „Discord“, o komanda teigė, kad „aktyviai dirba su ištaisymo planu“.
Ataskaitoje komanda teigia pastebėjusi, kad kažkas negerai, kai vienam iš jos įkūrėjų dėl tuo metu nežinomų priežasčių iš piniginės buvo paimta 50,000 2 USD vertės kriptovaliuta. Atlikusi tyrimą, komanda nustatė, kad užpuolikas pasinaudojo programos „selfSwap“ funkcija, kad perkeltų daugiau nei XNUMX mln.
„SelfSwap“ funkcija leido vartotojams pateikti maršrutizatoriaus adresą ir su juo susietus skambučių duomenis, kad vienas prieigos raktas būtų pakeistas kitu. Tačiau į kodą nebuvo įrašytas iš anksto patvirtintų maršrutizatorių sąrašas. Taigi, užpuolikas naudojo šią funkciją, kad nukreiptų operaciją iš Dexible į kiekvieną žetonų sutartį, perkeldamas vartotojų žetonus iš jų piniginės į paties užpuoliko išmaniąją sutartį. Kadangi šios kenkėjiškos operacijos buvo vykdomos iš Dexible, kurią vartotojai jau buvo įgalioti išleisti savo žetonus, žetonų sutartys neblokavo operacijų.
Susiję: NFT influenceris tampa kibernetinės atakos auka, praranda 300 XNUMX USD+ CryptoPunks
Gavęs žetonus į savo išmaniąją sutartį, užpuolikas išėmė monetas per Tornado Cash į nežinomą BNB (BNB) piniginės.
„Dexible“ pristabdė savo sutartis ir paragino vartotojus atšaukti jų prieigos raktus.
Įprasta žetonų patvirtinimo didelėms sumoms praktika kartais lemdavo nuostolius kriptovaliutų naudotojams dėl klaidingų ar tiesioginių kenkėjiškų sutarčių, todėl kai kurie ekspertai įspėja vartotojus, kad reguliariai atšaukti patvirtinimus. Daugumos „Web3“ programų priekinės dalys neleidžia vartotojams tiesiogiai redaguoti patvirtintų prieigos raktų kiekio, todėl vartotojai dažnai praranda visą savo prieigos raktų likutį, jei programoje yra saugos trūkumas. „MetaMask“ ir kitos piniginės bandė išspręsti šią problemą, leisdamos vartotojams redaguoti prieigos raktų patvirtinimus piniginės patvirtinimo žingsnyje, tačiau daugelis kriptovaliutų naudotojų vis dar nežino apie riziką, kad šios funkcijos nepasinaudos.
Šaltinis: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function