بر اساس گزارش 2 فوریه پس از مرگ که توسط این تیم در سرور رسمی Discord این پروژه منتشر شد، تجمع کننده صرافی چند زنجیره ای Dexible مورد سوء استفاده قرار گرفت و در نتیجه 17 میلیون دلار ارز دیجیتال از دست رفت.
از ساعت 6:35 بعد از ظهر UTC در 17 فوریه، قسمت جلویی Dexible هر زمان که کاربران به سمت آن می روند، یک پنجره هشدار درباره هک نشان می دهد.
در ساعت 6:17 صبح UTC، تیم گزارش داد که "یک هک احتمالی در قراردادهای Dexible v2" را کشف کرده است و در حال بررسی این موضوع است. تقریباً نه ساعت بعد، بیانیه دومی را منتشر کرد که اکنون میداند «2,047,635.17 دلار از 17 آدرس معاملهگر مورد سوء استفاده قرار گرفته است. 4 در شبکه اصلی، 13 در arbitrum.
یک گزارش پس از مرگ در ساعت 4:00 بعد از ظهر UTC به عنوان یک فایل PDF منتشر شد و در Discord منتشر شد و تیم گفت که "به طور فعال روی یک طرح اصلاح کار می کند."
در این گزارش، تیم بیان میکند که وقتی یکی از بنیانگذارانش به دلایلی که در آن زمان نامشخص بود، رمزارزهای 50,000 دلاری خود را از کیف پولش خارج کردند، متوجه شدند که مشکلی وجود دارد. پس از بررسی، تیم متوجه شد که یک مهاجم از تابع selfSwap اپلیکیشن برای انتقال بیش از ۲ میلیون دلار رمزنگاری از کاربرانی که قبلاً به برنامه اجازه انتقال توکنهای خود را داده بودند، استفاده کرده است.
تابع selfSwap به کاربران این امکان را میدهد تا آدرس روتر و دادههای تماس مرتبط با آن را برای تعویض یک توکن با توکن دیگر ارائه کنند. با این حال، هیچ لیستی از روترهای از پیش تأیید شده نوشته شده در کد وجود نداشت. بنابراین، مهاجم از این تابع برای هدایت یک تراکنش از Dexible به هر قرارداد توکن استفاده کرد و توکنهای کاربران را از کیف پول خود به قرارداد هوشمند خود مهاجم منتقل کرد. از آنجا که این تراکنشهای مخرب از Dexible میآمدند، که کاربران قبلاً مجاز به خرج کردن توکنهای خود بودند، قراردادهای توکن تراکنشها را مسدود نکردند.
مرتبط: اینفلوئنسر NFT قربانی حمله سایبری می شود و 300 هزار دلار CryptoPunks را از دست می دهد
مهاجم پس از دریافت توکنها در قرارداد هوشمند خود، سکهها را از طریق Tornado Cash به BNB ناشناخته برداشت (BNB) کیف پول
Dexible قراردادهای خود را متوقف کرده و از کاربران خواسته است تا مجوزهای توکن را برای آنها لغو کنند.
رویه متداول مجاز کردن تأییدیه های توکن برای مقادیر زیاد، گاهی اوقات به ضرر کاربران کریپتو به دلیل قراردادهای باگ یا مخرب آشکار منجر می شود و برخی از کارشناسان را وادار می کند تا به کاربران هشدار دهند. تصویب نامه ها را به طور منظم لغو کنید. قسمتهای جلویی اکثر برنامههای Web3 به طور مستقیم به کاربران اجازه نمیدهند تا میزان توکنهای تأیید شده را ویرایش کنند، بنابراین اگر مشخص شود که برنامهای دارای نقص امنیتی است، کاربران اغلب تعادل کامل توکنهای خود را از دست میدهند. MetaMask و سایر کیف پولها سعی کردهاند این مشکل را با اجازه دادن به کاربران برای ویرایش تأییدیههای توکن در مرحله تأیید کیف پول برطرف کنند، اما بسیاری از کاربران رمزارز هنوز از خطر عدم استفاده از این ویژگی آگاه نیستند.
منبع: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function