17 თებერვალს პროექტის ოფიციალურ Discord არხზე გუნდის მიერ გამოქვეყნებული პოსტ-მოკვლის მოხსენების თანახმად, მრავალჯაჭვიანი გაცვლის აგრეგატორი Dexible დაზიანდა ექსპლოიტის შედეგად და, როგორც პირდაპირი შედეგი, მოიპარეს 2 მილიონი დოლარის ღირებულების ბიტკოინი.
17 თებერვლის მდგომარეობით, საღამოს 6:35 საათისთვის UTC, Dexible-ის წინა ბოლოში გამოჩნდება გაფრთხილება გატეხვის შესახებ ნებისმიერ დროს, როდესაც მომხმარებლები სტუმრობენ მას.
გუნდმა თქვა დილის 6:17 საათზე UTC, რომ მან აღმოაჩინა "შესაძლოა ჰაკი Dexible v2 კონტრაქტებზე" და იმ დროისთვის განიხილავდა ამ საკითხს. მეორე განცხადება გამოქვეყნდა დაახლოებით ცხრა საათის შემდეგ, რომელშიც ნათქვამია, რომ კომპანიამ ახლა იცოდა, რომ „2,047,635.17 აშშ დოლარი იქნა ექსპლუატირებული 17 სავაჭრო მისამართიდან“. 4 მთავარ ქსელზე, 13 არბიტრზე.
სიკვდილის შემდგომი ანგარიში მოწოდებული იქნა PDF ფაილის სახით 4:00 საათზე UTC და ხელმისაწვდომი გახდა Discord-ზე. გუნდმა ასევე თქვა, რომ "ამჟამად მუშაობდა სარემონტო გეგმაზე".
ორგანიზაციამ მოხსენებაში განაცხადა, რომ ცნობილი გახდა, რომ რაღაც არ იყო ცუდი, როდესაც მის ერთ-ერთ დამფუძნებელს საფულედან 50,000 აშშ დოლარის ღირებულების კრიპტო აქტივები გადაეტანა იმ დროისთვის გაურკვეველი მიზეზების გამო. ამ ნაბიჯის მიზეზები იმ დროისთვის უცნობი იყო. მათი გამოძიების შემდეგ, გუნდი მივიდა დასკვნამდე, რომ მოწინააღმდეგემ გამოიყენა აპლიკაციის selfSwap ფუნქცია, რათა მოეპარა თითქმის 2 მილიონი დოლარის ღირებულების კრიპტოვალუტა მომხმარებლებისგან, რომლებმაც ადრე მისცეს ნებართვა პროგრამას გადაეტანა მათი ტოკენები.
მომხმარებლებმა შეძლეს ერთი ტოკენის მეორეზე ვაჭრობის გაკეთება selfSwap ფუნქციის გამოყენებით, რომელიც მათ სთხოვდა მიეწოდებინათ როუტერის მისამართი და მასთან დაკავშირებული ზარის მონაცემები. თუმცა, კოდი არ შეიცავს მარშრუტიზატორთა სიას, რომლებიც უკვე განხილული და ავტორიზებული იყო. იმისათვის, რომ მომხმარებელთა ტოკენები გადაეტანა მათი საფულედან თავდამსხმელის საკუთარ ჭკვიან კონტრაქტში, თავდამსხმელმა გამოიყენა ეს მეთოდი Dexible-დან ტრანზაქციის თითოეულ ტოკენის კონტრაქტამდე. ტოკენის კონტრაქტებმა არ შეაჩერა ეს პოტენციურად სახიფათო ტრანზაქციები, რადგან ისინი წარმოიშვა Dexible-დან, რომელსაც მომხმარებლებმა უკვე მისცეს ნებართვა გამოიყენონ თავიანთი ტოკენები.
ტოკენების საკუთარ სმარტ კონტრაქტში მიღების შემდეგ, თავდამსხმელმა გამოიტანა მონეტები Tornado Cash-ის გამოყენებით და მოათავსა ისინი BNB (BNB) საფულეებში, რომლის შესახებაც მათ არ იცოდნენ.
Dexible-ის კონტრაქტების შესრულება შეჩერებულია და კომპანიამ მოითხოვა, რომ მომხმარებლებმა გააუქმონ სიმბოლური ავტორიზაცია ასეთი კონტრაქტებისთვის.
დიდი ოდენობით ტოკენის დამტკიცების ავტორიზაციის გავრცელებულმა პრაქტიკამ შეიძლება ზოგჯერ გამოიწვიოს კრიპტოვალუტის მომხმარებლების დანაკარგები ბაგური ან აშკარა მავნე კონტრაქტების გამო. შედეგად, დარგის ზოგიერთი ექსპერტი მომხმარებლებს ურჩევს რეგულარულად გააუქმონ ნებართვები, რათა დაიცვან თავი პოტენციური ფინანსური ზიანისგან. იმის გამო, რომ Web3 აპლიკაციების უმრავლესობის წინა ბოლოები ცალსახად არ აძლევს მომხმარებლებს უფლებას შეცვალონ მინიჭებული ტოკენების რაოდენობა, მომხმარებლები ხშირად კარგავენ ტოკენის ბალანსს, თუ აღმოაჩენენ, რომ აპს აქვს უსაფრთხოების პრობლემა. მიუხედავად იმისა MetaMask და სხვა საფულეები ცდილობდნენ ამ პრობლემის გადაჭრას საფულის დადასტურების პროცესის დროს ტოკენის დამტკიცების შესაცვლელად, კრიპტოვალუტის მომხმარებელთა უმრავლესობა ჯერ კიდევ არ არის ინფორმირებული ამ ფუნქციის გამოუყენებლობის პოტენციური შედეგების შესახებ.
წყარო: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack