Ayon sa isang post-mortem report na inilathala ng team sa opisyal na Discord channel ng proyekto noong Pebrero 17, ang multichain exchange aggregator na Dexible ay nakompromiso ng isang pagsasamantala, at bilang direktang resulta, $2 milyon na halaga ng bitcoin ang ninakaw.
Simula noong Pebrero 17, 6:35 pm UTC, ang front end ng Dexible ay nagpapakita ng popup na babala tungkol sa hack anumang oras na bibisitahin ito ng mga user.
Sinabi ng koponan noong 6:17 am UTC na nakahanap ito ng "isang posibleng pag-hack sa mga kontrata ng Dexible v2" at tinitingnan ang bagay sa oras na iyon. Ang pangalawang pahayag ay inilabas makalipas ang siyam na oras, kung saan sinabing alam na ngayon ng kumpanya na "$2,047,635.17 ay pinagsamantalahan mula sa 17 mga address ng kalakalan." 4 sa mainnet, 13 sa arbitrum.”
Isang post-mortem na ulat ang ibinigay bilang isang PDF file sa 4:00 pm UTC at ginawang available sa Discord. Sinabi rin ng team na ito ay "kasalukuyang gumagawa ng plano sa pag-aayos."
Sinabi ng organisasyon sa ulat na nalaman nitong may mali nang ang isa sa mga tagapagtatag nito ay may mga crypto asset na nagkakahalaga ng $50,000 na inilipat mula sa kanyang wallet para sa mga kadahilanang hindi malinaw sa panahong iyon. Ang mga dahilan para sa paglipat na ito ay hindi alam sa oras na iyon. Kasunod ng kanilang pagsisiyasat, ang koponan ay dumating sa konklusyon na ginamit ng isang kalaban ang tampok na selfSwap ng app upang magnakaw ng halos $2 milyong halaga ng cryptocurrency mula sa mga user na dati nang nagbigay ng pahintulot para sa programa na ilipat ang kanilang mga token.
Nagawa ng mga user ang isang trade ng isang token para sa isa pa sa pamamagitan ng paggamit ng selfSwap function, na kinakailangan nilang ibigay ang address ng isang router at ang calldata na konektado dito. Gayunpaman, hindi kasama sa code ang isang listahan ng mga router na nasuri na at pinahintulutan. Upang ilipat ang mga token ng mga user mula sa kanilang mga wallet patungo sa sariling smart contract ng attacker, ginamit ng attacker ang paraang ito upang iruta ang isang transaksyon mula sa Dexible patungo sa bawat kontrata ng token. Ang mga kontrata ng token ay hindi huminto sa mga potensyal na mapanganib na transaksyong ito dahil nagmula ang mga ito sa Dexible, na binigyan na ng pahintulot ng mga user na gamitin ang kanilang mga token.
Matapos matanggap ang mga token sa sarili nilang smart contract, inalis ng attacker ang mga barya gamit ang Tornado Cash at inilagay ang mga ito sa mga wallet ng BNB (BNB) na hindi nila alam.
Ang pagpapatupad ng mga kontrata ng Dexible ay itinigil, at hiniling ng kumpanya na bawiin ng mga user ang kanilang mga awtorisasyon sa token para sa mga naturang kontrata.
Ang karaniwang kasanayan ng pagpapahintulot sa mga pag-apruba ng token para sa malalaking halaga ay maaaring humantong minsan sa mga pagkalugi para sa mga gumagamit ng cryptocurrency dahil sa mga buggy o tahasang malisyosong kontrata. Bilang resulta, pinapayuhan ng ilang eksperto sa industriya ang mga user na regular na bawiin ang mga pag-apruba upang maprotektahan ang kanilang sarili mula sa potensyal na pinsala sa pananalapi. Dahil ang mga front end ng karamihan ng mga Web3 application ay hindi tahasang nagpapahintulot sa mga user na baguhin ang bilang ng mga token na ibinigay, ang mga user ay kadalasang nawawala ang kabuuan ng kanilang balanse sa token kung matuklasan na ang isang app ay may problema sa seguridad. Bagaman MetaMask at iba pang mga wallet ay sinubukang lutasin ang isyung ito sa pamamagitan ng pagpapagana sa mga user na baguhin ang mga pag-apruba ng token sa panahon ng proseso ng pagkumpirma ng wallet, ang karamihan sa mga gumagamit ng cryptocurrency ay hindi pa rin alam ang mga potensyal na kahihinatnan ng hindi paggamit ng function na ito.
Pinagmulan: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack