فن آوری

Dexible Aggregator به قیمت 2 میلیون دلار از طریق عملکرد "selfSwap" هک شد

02/19/2023
اخبار بیت کوین اتریوم

بر اساس گزارش 2 فوریه پس از مرگ که توسط این تیم در سرور رسمی Discord این پروژه منتشر شد، تجمع کننده صرافی چند زنجیره ای Dexible مورد سوء استفاده قرار گرفت و در نتیجه 17 میلیون دلار ارز دیجیتال از دست رفت.

از ساعت 6:35 بعد از ظهر UTC در 17 فوریه، قسمت جلویی Dexible هر زمان که کاربران به سمت آن می روند، یک پنجره هشدار درباره هک نشان می دهد.

در ساعت 6:17 صبح UTC، تیم گزارش داد که "یک هک احتمالی در قراردادهای Dexible v2" را کشف کرده است و در حال بررسی این موضوع است. تقریباً نه ساعت بعد، بیانیه دومی را منتشر کرد که اکنون می‌داند «2,047,635.17 دلار از 17 آدرس معامله‌گر مورد سوء استفاده قرار گرفته است. 4 در شبکه اصلی، 13 در arbitrum.

یک گزارش پس از مرگ در ساعت 4:00 بعد از ظهر UTC به عنوان یک فایل PDF منتشر شد و در Discord منتشر شد و تیم گفت که "به طور فعال روی یک طرح اصلاح کار می کند."

در این گزارش، تیم بیان می‌کند که وقتی یکی از بنیان‌گذارانش به دلایلی که در آن زمان نامشخص بود، رمزارزهای 50,000 دلاری خود را از کیف پولش خارج کردند، متوجه شدند که مشکلی وجود دارد. پس از بررسی، تیم متوجه شد که یک مهاجم از تابع selfSwap اپلیکیشن برای انتقال بیش از ۲ میلیون دلار رمزنگاری از کاربرانی که قبلاً به برنامه اجازه انتقال توکن‌های خود را داده بودند، استفاده کرده است.

تابع selfSwap به کاربران این امکان را می‌دهد تا آدرس روتر و داده‌های تماس مرتبط با آن را برای تعویض یک توکن با توکن دیگر ارائه کنند. با این حال، هیچ لیستی از روترهای از پیش تأیید شده نوشته شده در کد وجود نداشت. بنابراین، مهاجم از این تابع برای هدایت یک تراکنش از Dexible به هر قرارداد توکن استفاده کرد و توکن‌های کاربران را از کیف پول خود به قرارداد هوشمند خود مهاجم منتقل کرد. از آنجا که این تراکنش‌های مخرب از Dexible می‌آمدند، که کاربران قبلاً مجاز به خرج کردن توکن‌های خود بودند، قراردادهای توکن تراکنش‌ها را مسدود نکردند.

مرتبط: اینفلوئنسر NFT قربانی حمله سایبری می شود و 300 هزار دلار CryptoPunks را از دست می دهد

مهاجم پس از دریافت توکن‌ها در قرارداد هوشمند خود، سکه‌ها را از طریق Tornado Cash به BNB ناشناخته برداشت (BNB) کیف پول

Dexible قراردادهای خود را متوقف کرده و از کاربران خواسته است تا مجوزهای توکن را برای آنها لغو کنند.

رویه متداول مجاز کردن تأییدیه های توکن برای مقادیر زیاد، گاهی اوقات به ضرر کاربران کریپتو به دلیل قراردادهای باگ یا مخرب آشکار منجر می شود و برخی از کارشناسان را وادار می کند تا به کاربران هشدار دهند. تصویب نامه ها را به طور منظم لغو کنید. قسمت‌های جلویی اکثر برنامه‌های Web3 به طور مستقیم به کاربران اجازه نمی‌دهند تا میزان توکن‌های تأیید شده را ویرایش کنند، بنابراین اگر مشخص شود که برنامه‌ای دارای نقص امنیتی است، کاربران اغلب تعادل کامل توکن‌های خود را از دست می‌دهند. MetaMask و سایر کیف پول‌ها سعی کرده‌اند این مشکل را با اجازه دادن به کاربران برای ویرایش تأییدیه‌های توکن در مرحله تأیید کیف پول برطرف کنند، اما بسیاری از کاربران رمزارز هنوز از خطر عدم استفاده از این ویژگی آگاه نیستند.