Agregatori i shkëmbimit shumë zinxhirësh Dexible është goditur nga një shfrytëzim dhe si rezultat ka humbur kriptovaluta me vlerë 2 milionë dollarë, sipas një raporti postmortem të 17 shkurtit të publikuar nga ekipi në serverin zyrtar të projektit Discord.
Që nga ora 6:35 UTC më 17 shkurt, pjesa e përparme e Dexible shfaq një dritare kërcyese që paralajmëron për hakimin sa herë që përdoruesit lundrojnë drejt saj.
Në orën 6:17 të mëngjesit UTC, ekipi raportoi se kishte zbuluar "një hak të mundshëm në kontratat Dexible v2" dhe po hetonte çështjen. Përafërsisht nëntë orë më vonë, ajo lëshoi një deklaratë të dytë që tani e dinte se “2,047,635.17 dollarë u shfrytëzuan nga 17 adresa tregtarësh. 4 në mainnet, 13 në arbitrum.”
Një raport pas vdekjes u lëshua në orën 4:00 UTC si një skedar PDF dhe u publikua në Discord, dhe ekipi tha se ishte "duke punuar në mënyrë aktive për një plan riparimi".
Në raport, ekipi thekson se kishte vënë re se diçka nuk ishte në rregull kur një prej themeluesve të tij u hoq nga portofoli i tij kripto me vlerë 50,000 dollarë për arsye që nuk diheshin në atë kohë. Pas hetimeve, ekipi zbuloi se një sulmues kishte përdorur funksionin selfSwap të aplikacionit për të lëvizur kripto me vlerë mbi 2 milionë dollarë nga përdoruesit që kishin autorizuar më parë aplikacionin për të lëvizur argumentet e tyre.
Funksioni selfSwap i lejoi përdoruesit të siguronin adresën e një ruteri dhe të dhënat e thirrjeve të lidhura me të për të bërë një shkëmbim të një token me një tjetër. Megjithatë, nuk kishte asnjë listë të ruterave të para-aprovuar të shkruar në kod. Pra, sulmuesi përdori këtë funksion për të drejtuar një transaksion nga Dexible në çdo kontratë token, duke lëvizur argumentet e përdoruesve nga kuletat e tyre në kontratën inteligjente të sulmuesit. Për shkak se këto transaksione me qëllim të keq vinin nga Dexible, të cilin përdoruesit e kishin autorizuar tashmë për të shpenzuar argumentet e tyre, kontratat e tokenit nuk i bllokuan transaksionet.
Related: Ndikuesi NFT bie viktimë e sulmit kibernetik, humbet 300 mijë dollarë + CryptoPunks
Pasi mori argumentet në kontratën e tyre inteligjente, sulmuesi i tërhoqi monedhat përmes Tornado Cash në BNB të panjohur (BNB) kuletat.
Dexible ka ndërprerë kontratat e saj dhe u ka kërkuar përdoruesve që të revokojnë autorizimet simbolike për ta.
Praktika e zakonshme e autorizimit të miratimeve token për shuma të mëdha ndonjëherë ka çuar në humbje për përdoruesit e kriptove për shkak të kontratave me gabime ose të drejtpërdrejta me qëllim të keq, duke bërë që disa ekspertë të paralajmërojnë përdoruesit të revokojnë miratimet në baza të rregullta. Fundet e përparme për shumicën e aplikacioneve Web3 nuk i lejojnë drejtpërdrejt përdoruesit të modifikojnë sasinë e argumenteve të miratuara, kështu që përdoruesit shpesh humbasin balancën e plotë të argumenteve të tyre nëse një aplikacion rezulton të ketë një të metë sigurie. MetaMask dhe kuletat e tjera janë përpjekur ta rregullojnë këtë problem duke i lejuar përdoruesit të modifikojnë miratimet e tokenit në hapin e konfirmimit të portofolit, por shumë përdorues të kriptove janë ende të pavetëdijshëm për rrezikun e mospërdorimit të kësaj veçorie.
Burimi: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function