17 ақпанда жобаның ресми Discord арнасында топ жариялаған өлгеннен кейінгі есеп бойынша, Dexible көп тізбекті биржа агрегаторы эксплуатацияға ұшырап, соның салдарынан 2 миллион доллар тұратын биткоин ұрланған.
17 ақпан, 6:35 UTC жағдайы бойынша, Dexible қолданбасының алдыңғы жағында пайдаланушылар кез келген кезде бұзақылық туралы қалқымалы ескерту көрсетіледі.
Команда UTC таңғы сағат 6:17-де «Dexible v2 келісім-шарттарын бұзу мүмкіндігін» тапқанын және сол уақытта мәселені қарап жатқанын айтты. Шамамен тоғыз сағаттан кейін екінші мәлімдеме жарияланды, онда компания қазір «2,047,635.17 сауда мекенжайынан 17 4 13 доллар пайдаланылғанын» біледі деп айтылды. XNUMX негізгі желіде, XNUMX арбитрумда».
Өлгеннен кейінгі есеп UTC 4:00-де PDF файлы ретінде ұсынылып, Discord сайтында қолжетімді болды. Сондай-ақ команда «қазіргі уақытта жөндеу жоспарымен жұмыс істеп жатқанын» айтты.
Ұйым есеп беруде оның негізін қалаушылардың бірінің әмиянынан сол кезде түсініксіз себептермен құны 50,000 2 доллар тұратын крипто-активтерді аударған кезде бірдеңе дұрыс емес екенін білді деп мәлімдеді. Бұл қадамның себептері ол кезде белгісіз еді. Тергеуден кейін топ қарсылас қолданбаның selfSwap мүмкіндігін пайдаланып, бұрын бағдарламаға өз таңбаларын тасымалдауға рұқсат берген пайдаланушылардан шамамен XNUMX миллион доллар тұратын криптовалютаны ұрлаған деген қорытындыға келді.
Пайдаланушылар маршрутизатордың мекенжайын және онымен байланысты қоңырау деректерін беруді талап ететін selfSwap функциясын пайдалану арқылы бір таңбалауышты басқасына саудалай алды. Дегенмен, кодта қаралған және рұқсат етілген маршрутизаторлар тізімі жоқ. Пайдаланушылардың таңбалауыштарын әмияндарынан шабуылдаушының жеке смарт келісім-шартына жылжыту үшін шабуылдаушы Dexible-ден әрбір таңбалауыш келісім-шартына транзакцияны бағыттау үшін осы әдісті пайдаланды. Токен келісім-шарттары бұл ықтимал қауіпті транзакцияларды тоқтатпады, өйткені олар пайдаланушылар өздерінің таңбалауыштарын пайдалануға рұқсат берген Dexible-ден шыққан.
Токендерді өздерінің ақылды келісімшартына алғаннан кейін, шабуылдаушы Tornado Cash көмегімен монеталарды алып тастады және оларды өздері білмейтін BNB (BNB) әмияндарына орналастырды.
Dexible келісім-шарттарын орындау тоқтатылды және компания пайдаланушылардан мұндай келісім-шарттар үшін токендік рұқсаттарын қайтарып алуды сұрады.
Үлкен сомалар үшін таңбалауышты мақұлдауға рұқсат берудің әдеттегі тәжірибесі кейде қате немесе тікелей зиянды келісім-шарттардың салдарынан криптовалюта пайдаланушылары үшін шығындарға әкелуі мүмкін. Нәтижесінде, кейбір сала сарапшылары пайдаланушыларға ықтимал қаржылық залалдан қорғану үшін рұқсаттарды жүйелі түрде қайтарып алуға кеңес береді. Web3 қолданбаларының көпшілігінің алдыңғы жақтары пайдаланушыларға берілген таңбалауыштардың санын өзгертуге нақты мүмкіндік бермейтіндіктен, қолданбада қауіпсіздік мәселесі бар екені анықталса, пайдаланушылар өздерінің таңбалауыш теңгерімінен жиі айырылады. Дегенмен MetaMask және басқа әмияндар пайдаланушыларға әмиянды растау процесі кезінде маркер мақұлдауларын өзгертуге мүмкіндік беру арқылы бұл мәселені шешуге тырысты, криптовалюта пайдаланушыларының көпшілігі бұл функцияны пайдаланбаудың ықтимал салдары туралы әлі де хабардар емес.
Дереккөз: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack