მულტიჯაჭვური ბირჟის აგრეგატორ Dexible-ს ექსპლოიტი დაარტყა და შედეგად დაიკარგა 2 მილიონი დოლარის ღირებულების კრიპტოვალუტა, ნათქვამია 17 თებერვალს მოკვლის შემდგომ მოხსენებაში, რომელიც გუნდმა გამოაქვეყნა პროექტის ოფიციალურ Discord სერვერზე.
6 თებერვალს, საღამოს 35:17 საათისთვის UTC, Dexible წინა ბოლო აჩვენებს ამომხტარ გაფრთხილებას ჰაკერის შესახებ, როდესაც მომხმარებლები მასზე ნავიგაციას ახდენენ.
დილის 6:17 საათზე UTC გუნდმა განაცხადა, რომ აღმოაჩინა „პოტენციური ჰაკინგი Dexible v2 კონტრაქტებზე“ და იძიებდა ამ საკითხს. დაახლოებით ცხრა საათის შემდეგ, მან გამოაქვეყნა მეორე განცხადება, რომ ახლა იცოდა, რომ „2,047,635.17 აშშ დოლარი იქნა გამოყენებული 17 ტრეიდერის მისამართიდან. 4 მთავარ ქსელში, 13 არბიტრზე.
სიკვდილის შემდგომი მოხსენება გამოიცა საღამოს 4:00 საათზე UTC PDF ფაილის სახით და გამოქვეყნდა Discord-ზე და გუნდმა განაცხადა, რომ ის „აქტიურად მუშაობდა სარეაბილიტაციო გეგმაზე“.
მოხსენებაში, გუნდი აღნიშნავს, რომ შეამჩნია, რომ რაღაც არასწორი იყო, როდესაც მის ერთ-ერთ დამფუძნებელს საფულედან 50,000 დოლარის ღირებულების კრიპტო გადაიტანა იმ დროისთვის უცნობი მიზეზების გამო. გამოძიების შემდეგ, გუნდმა აღმოაჩინა, რომ თავდამსხმელმა გამოიყენა აპლიკაციის selfSwap ფუნქცია, რათა გადაეტანა 2 მილიონ დოლარზე მეტი ღირებულების კრიპტო მომხმარებლებისგან, რომლებიც ადრე აძლევდნენ უფლებას აპს გადაეტანა მათი ტოკენები.
selfSwap ფუნქცია მომხმარებლებს საშუალებას აძლევდა მიეწოდებინათ როუტერის მისამართი და მასთან დაკავშირებული ზარის მონაცემები, რათა შეეცვალათ ერთი ტოკენი მეორეზე. თუმცა, არ იყო კოდში ჩაწერილი წინასწარ დამტკიცებული მარშრუტიზატორების სია. ამრიგად, თავდამსხმელმა გამოიყენა ეს ფუნქცია Dexible-დან ტრანზაქციის გადასატანად თითოეულ ტოკენ კონტრაქტზე, გადაიტანა მომხმარებლების ტოკენები მათი საფულეებიდან თავდამსხმელის საკუთარ ჭკვიან კონტრაქტში. იმის გამო, რომ ეს მავნე ტრანზაქციები მოდიოდა Dexible-დან, რომლის მომხმარებლებმა უკვე აძლევდნენ უფლებას თავიანთი ტოკენების დახარჯვაზე, ტოკენ კონტრაქტებმა არ დაბლოკა ტრანზაქციები.
ამავე თემაზე: NFT ინფლუენსერი კიბერშეტევის მსხვერპლი გახდა, $300K+ CryptoPunks დაკარგა
ტოკენების საკუთარ სმარტ კონტრაქტში მიღების შემდეგ, თავდამსხმელმა გამოიტანა მონეტები Tornado Cash-ის მეშვეობით უცნობი BNB-ში (BNB) საფულეები.
Dexible-მა შეაჩერა კონტრაქტები და მოუწოდა მომხმარებლებს გააუქმონ მათთვის ტოკენის ავტორიზაცია.
სიმბოლოების დამტკიცების დიდი ოდენობის ავტორიზაციის გავრცელებულმა პრაქტიკამ ზოგჯერ გამოიწვია კრიპტო-მომხმარებლების დანაკარგები ბაგური ან აშკარა მავნე კონტრაქტების გამო, რის გამოც ზოგიერთი ექსპერტი აფრთხილებს მომხმარებლებს. რეგულარულად გააუქმოს დამტკიცებები. Web3 აპლიკაციების უმეტესობის წინა ბოლოები პირდაპირ არ აძლევს მომხმარებლებს უფლებას შეცვალონ დამტკიცებული ტოკენების რაოდენობა, ამიტომ მომხმარებლები ხშირად კარგავენ თავიანთი ნიშნების სრულ ბალანსს, თუ აპს აქვს უსაფრთხოების ხარვეზი. MetaMask და სხვა საფულეები ცდილობდნენ გამოესწორებინათ ეს პრობლემა იმით, რომ მომხმარებლებს საშუალებას აძლევდნენ შეცვალონ ტოკენის დამტკიცებები საფულის დადასტურების ეტაპზე, მაგრამ კრიპტო-მომხმარებელმა ბევრმა ჯერ კიდევ არ იცის ამ ფუნქციის გამოუყენებლობის რისკი.
წყარო: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function