Көп тізбекті алмасу агрегаторы Dexible эксплойтқа тап болды және соның салдарынан 2 миллион долларлық криптовалюта жоғалды, делінген 17 ақпанда жобаның ресми Discord серверінде шығарылған өлімнен кейінгі есеп бойынша.
6 ақпандағы UTC 35:17-тегі жағдай бойынша, Dexible алдыңғы жағы пайдаланушылар оған шарлаған сайын бұзу туралы қалқымалы ескертуді көрсетеді.
UTC таңғы сағат 6:17-де топ «Dexible v2 келісім-шарттарына әлеуетті бұзуды» тауып, мәселені зерттеп жатқанын хабарлады. Шамамен тоғыз сағаттан кейін ол «2,047,635.17 трейдер мекенжайынан 17 4 13 доллар пайдаланылғанын білетіні туралы екінші мәлімдеме жасады. XNUMX негізгі желіде, XNUMX арбитрумда».
Өлімнен кейінгі есеп UTC сағат 4:00-де PDF файлы ретінде шығарылды және Discord-та шығарылды және команда «қалпына келтіру жоспарымен белсенді жұмыс істеп жатқанын» айтты.
Есепте команда оның негізін қалаушылардың бірі сол кезде белгісіз себептермен әмиянынан 50,000 2 доллар тұратын крипто-ақшаны алып тастаған кезде бірдеңе дұрыс емес екенін байқағанын айтады. Тергеуден кейін топ шабуылдаушы қолданбаның selfSwap функциясын қолданбаға таңбалауыштарын жылжытуға рұқсат берген пайдаланушылардың құны XNUMX миллион доллардан астам криптованиені жылжыту үшін пайдаланғанын анықтады.
SelfSwap функциясы пайдаланушыларға бір таңбалауышты басқасына ауыстыру үшін маршрутизатордың мекенжайын және онымен байланысты қоңырау деректерін беруге мүмкіндік берді. Дегенмен, кодқа жазылған алдын ала бекітілген маршрутизаторлардың тізімі жоқ. Осылайша, шабуылдаушы бұл функцияны Dexible-ден әрбір таңбалауыш келісім-шартына транзакцияны бағыттау үшін пайдаланды, пайдаланушылардың таңбалауыштарын әмияндарынан шабуылдаушының жеке смарт келісімшартына жылжытты. Бұл зиянды транзакциялар пайдаланушылар өздерінің таңбалауыштарын жұмсауға рұқсат берген Dexible компаниясынан келгендіктен, токен келісімшарттары транзакцияларды бұғаттамады.
Қатысты: NFT әсер етушісі кибершабуылдың құрбаны болды, $300K+ CryptoPunks жоғалтады
Токендерді өздерінің ақылды келісімшартына алғаннан кейін, шабуылдаушы Tornado Cash арқылы белгісіз BNB-ге монеталарды алып тастады (BNB) әмияндар.
Dexible келісім-шарттарын тоқтатты және пайдаланушыларды олар үшін таңбалауыш авторизацияларын қайтарып алуға шақырды.
Үлкен сомаларға токендерді мақұлдауға рұқсат берудің әдеттегі тәжірибесі кейде қате немесе тікелей зиянды келісім-шарттардың салдарынан крипто пайдаланушылары үшін шығынға әкеліп соқтырды, бұл кейбір сарапшыларды пайдаланушыларды ескертуге әкелді. рұқсаттарды жүйелі түрде қайтарып алу. Көптеген Web3 қолданбаларының алдыңғы ұштары пайдаланушыларға мақұлданған таңбалауыштардың мөлшерін тікелей өңдеуге мүмкіндік бермейді, сондықтан қолданбада қауіпсіздік ақауы бар болса, пайдаланушылар жиі таңбалауыштарының толық балансын жоғалтады. MetaMask және басқа әмияндар пайдаланушыларға әмиянды растау қадамында таңбалауышты мақұлдауларды өңдеуге мүмкіндік беру арқылы бұл мәселені шешуге тырысты, бірақ көптеген криптовалюта пайдаланушылары бұл мүмкіндікті пайдаланбау қаупін әлі де білмейді.
Дереккөз: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function