Volgens een post-mortem rapport dat op 17 februari door het team op het officiële Discord-kanaal van het project is gepubliceerd, is de multichain-uitwisselingsaggregator Dexible gecompromitteerd door een exploit, en als direct gevolg is er voor $ 2 miljoen aan bitcoin gestolen.
Vanaf 17 februari, 6:35 uur UTC, geeft de voorkant van Dexible een pop-upwaarschuwing weer over de hack wanneer gebruikers deze bezoeken.
Het team zei om 6:17 uur UTC dat het "een mogelijke hack op Dexible v2-contracten" had gevonden en de zaak op dat moment aan het onderzoeken was. Ongeveer negen uur later werd een tweede verklaring afgegeven, waarin werd gezegd dat het bedrijf nu wist dat "$ 2,047,635.17 werd uitgebuit vanaf 17 handelsadressen". 4 op mainnet, 13 op arbitrage.”
Een autopsierapport werd om 4 uur UTC als pdf-bestand verstrekt en beschikbaar gesteld op Discord. Het team zei ook dat het "momenteel bezig was met een reparatieplan".
De organisatie verklaarde in het rapport dat ze zich ervan bewust werd dat er iets mis was toen een van de oprichters crypto-activa ter waarde van $ 50,000 uit zijn portemonnee liet overschrijven om redenen die op dat moment onduidelijk waren. De redenen voor deze verhuizing waren op dat moment niet bekend. Na hun onderzoek kwam het team tot de conclusie dat een tegenstander de selfSwap-functie van de app had gebruikt om bijna $ 2 miljoen aan cryptocurrency te stelen van gebruikers die eerder toestemming hadden gegeven aan het programma om hun tokens over te dragen.
Gebruikers konden het ene token ruilen voor het andere door gebruik te maken van de selfSwap-functie, waarvoor ze het adres van een router en de daarmee verbonden gespreksgegevens moesten opgeven. De code bevatte echter geen lijst met routers die al waren beoordeeld en geautoriseerd. Om de tokens van gebruikers uit hun portemonnee naar het eigen slimme contract van de aanvaller te verplaatsen, gebruikte de aanvaller deze methode om een transactie van Dexible naar elk tokencontract te routeren. Tokencontracten maakten geen einde aan deze potentieel gevaarlijke transacties, aangezien ze afkomstig waren van Dexible, waaraan gebruikers al toestemming hadden gegeven om hun tokens te gebruiken.
Nadat ze de tokens in hun eigen slimme contract hadden ontvangen, haalde de aanvaller de munten terug met behulp van Tornado Cash en plaatste ze in BNB (BNB) -portefeuilles waarvan ze niet op de hoogte waren.
De uitvoering van de contracten van Dexible is stopgezet en het bedrijf heeft gebruikers verzocht hun tokenautorisaties voor dergelijke contracten in te trekken.
De gebruikelijke praktijk van het autoriseren van tokengoedkeuringen voor grote bedragen kan soms leiden tot verliezen voor cryptocurrency-gebruikers als gevolg van contracten met fouten of ronduit kwaadaardige contracten. Als gevolg hiervan adviseren sommige branche-experts gebruikers om regelmatig goedkeuringen in te trekken om zichzelf te beschermen tegen mogelijke financiële schade. Omdat de front-ends van de meeste Web3-applicaties gebruikers niet expliciet in staat stellen het aantal verleende tokens te wijzigen, verliezen gebruikers vaak hun volledige tokensaldo als wordt ontdekt dat een app een beveiligingsprobleem heeft. Hoewel MetaMask en andere portefeuilles hebben geprobeerd dit probleem op te lossen door gebruikers in staat te stellen tokengoedkeuringen te wijzigen tijdens het bevestigingsproces van de portefeuille, de meerderheid van de cryptocurrency-gebruikers is nog steeds niet op de hoogte van de mogelijke gevolgen van het niet gebruiken van deze functie.
Bron: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack