طبق یک گزارش پس از مرگ که توسط تیم در کانال رسمی Discord پروژه در 17 فوریه منتشر شد، تجمع کننده تبادل چند زنجیره ای Dexible توسط یک سوء استفاده در معرض خطر قرار گرفت و در نتیجه مستقیم، 2 میلیون دلار بیت کوین به سرقت رفت.
از تاریخ 17 فوریه، ساعت 6:35 بعد از ظهر UTC، قسمت جلویی Dexible هر زمان که کاربران به آن مراجعه کنند، یک هشدار در مورد هک نمایش داده می شود.
این تیم در ساعت 6:17 صبح UTC گفت که "یک هک احتمالی در قراردادهای Dexible v2" پیدا کرده است و در آن زمان در حال بررسی این موضوع بود. بیانیه دوم حدود 2,047,635.17 ساعت بعد منتشر شد که در آن گفته شد که شرکت اکنون می داند که "17 دلار از 4 آدرس تجاری مورد سوء استفاده قرار گرفته است." 13 در شبکه اصلی، XNUMX در arbitrum.
یک گزارش پس از مرگ به صورت فایل PDF در ساعت 4:00 بعد از ظهر UTC ارائه شد و در Discord در دسترس قرار گرفت. این تیم همچنین گفت که "در حال حاضر روی یک طرح تعمیر کار می کند."
این سازمان در این گزارش اظهار داشت که وقتی یکی از بنیانگذاران آن به دلایلی که در آن زمان نامشخص بود، داراییهای رمزنگاری به ارزش 50,000 دلار از کیف پولش منتقل شد، متوجه شد که چیزی اشتباه است. دلایل این حرکت در آن زمان مشخص نبود. پس از بررسیهای خود، تیم به این نتیجه رسیدند که یک دشمن از ویژگی selfSwap اپلیکیشن برای سرقت تقریباً ۲ میلیون دلار ارز دیجیتال از کاربرانی که قبلاً مجوز انتقال توکنهای خود را به برنامه داده بودند، استفاده کرده است.
کاربران میتوانستند با استفاده از تابع selfSwap، یک توکن را با دیگری معامله کنند، که از آنها میخواست آدرس روتر و دادههای تماس متصل به آن را ارائه کنند. با این حال، کد شامل لیستی از روترهایی که قبلاً بررسی و تأیید شده بودند، نمیشد. به منظور انتقال توکن های کاربران از کیف پول آنها به قرارداد هوشمند مهاجم، مهاجم از این روش برای هدایت تراکنش از Dexible به هر قرارداد توکن استفاده کرد. قراردادهای توکن مانعی برای این تراکنشهای بالقوه خطرناک نمیکردند زیرا از Dexible سرچشمه میگرفتند، که کاربران قبلاً اجازه استفاده از توکنهای خود را داده بودند.
مهاجم پس از دریافت توکنها در قرارداد هوشمند خود، سکهها را با استفاده از Tornado Cash خارج کرد و آنها را در کیف پولهای BNB (BNB) قرار داد که از آن اطلاعی نداشتند.
اجرای قراردادهای Dexible متوقف شده است و این شرکت از کاربران درخواست کرده است که مجوزهای رمز خود را برای چنین قراردادهایی پس بگیرند.
رویه متداول مجاز کردن تأییدیههای توکن برای مقادیر زیاد، گاهی اوقات میتواند به ضرر کاربران ارزهای دیجیتال بهدلیل قراردادهای باگ یا مخرب آشکار منجر شود. در نتیجه، برخی از کارشناسان صنعت به کاربران توصیه می کنند که به طور منظم تأییدیه ها را لغو کنند تا از آسیب های مالی احتمالی محافظت کنند. از آنجایی که بخشهای جلویی اکثر برنامههای کاربردی Web3 به طور صریح به کاربران اجازه نمیدهند تعداد توکنهای اعطا شده را تغییر دهند، اگر مشخص شود که یک برنامه دارای مشکل امنیتی است، کاربران اغلب کل موجودی توکن خود را از دست میدهند. با اينكه MetaMask و کیف پول های دیگر سعی کرده اند این مشکل را با امکان دادن به کاربران برای تغییر تأییدیه های توکن در طول فرآیند تأیید کیف پول حل کنند، اکثر کاربران ارزهای دیجیتال هنوز از عواقب بالقوه عدم استفاده از این عملکرد مطلع نیستند.
منبع: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack