Selon un rapport post-mortem publié par l'équipe sur la chaîne officielle Discord du projet le 17 février, l'agrégateur d'échange multichaîne Dexible a été compromis par un exploit, et en conséquence directe, 2 millions de dollars de bitcoins ont été volés.
Depuis le 17 février, 6 h 35 UTC, le frontal de Dexible affiche un avertissement contextuel sur le piratage chaque fois que les utilisateurs le visitent.
L'équipe a déclaré à 6 h 17 UTC qu'elle avait trouvé "un piratage possible sur les contrats Dexible v2" et qu'elle examinait la question à l'époque. Une deuxième déclaration a été publiée environ neuf heures plus tard, dans laquelle il était dit que la société savait maintenant que "2,047,635.17 17 4 $ ont été exploités à partir de 13 adresses commerciales". XNUMX sur le réseau principal, XNUMX sur arbitrum.
Un rapport post-mortem a été fourni sous forme de fichier PDF à 4h00 UTC et mis à disposition sur Discord. L'équipe a également déclaré qu'elle "travaillait actuellement sur un plan de réparation".
L'organisation a déclaré dans le rapport qu'elle avait pris conscience que quelque chose n'allait pas lorsque l'un de ses fondateurs avait transféré des actifs cryptographiques d'une valeur de 50,000 2 $ hors de son portefeuille pour des raisons qui n'étaient pas claires à l'époque. Les raisons de ce déménagement étaient inconnues à l'époque. À la suite de leur enquête, l'équipe est arrivée à la conclusion qu'un adversaire avait utilisé la fonction selfSwap de l'application pour voler près de XNUMX millions de dollars de crypto-monnaie à des utilisateurs qui avaient précédemment autorisé le programme à transférer leurs jetons.
Les utilisateurs pouvaient échanger un jeton contre un autre en utilisant la fonction selfSwap, qui les obligeait à fournir l'adresse d'un routeur et les données d'appel qui lui étaient connectées. Cependant, le code n'incluait pas de liste de routeurs qui avaient déjà été examinés et autorisés. Afin de déplacer les jetons des utilisateurs de leurs portefeuilles vers le propre contrat intelligent de l'attaquant, celui-ci a utilisé cette méthode pour acheminer une transaction de Dexible vers chaque contrat de jeton. Les contrats de jetons n'ont pas mis un terme à ces transactions potentiellement dangereuses puisqu'ils provenaient de Dexible, auquel les utilisateurs avaient déjà donné l'autorisation d'utiliser leurs jetons.
Après avoir reçu les jetons dans son propre contrat intelligent, l'attaquant a retiré les pièces en utilisant Tornado Cash et les a placées dans des portefeuilles BNB (BNB) dont il n'était pas au courant.
L'exécution des contrats de Dexible a été interrompue et la société a demandé aux utilisateurs de retirer leurs autorisations de jeton pour ces contrats.
La pratique courante consistant à autoriser les approbations de jetons pour de gros montants peut parfois entraîner des pertes pour les utilisateurs de crypto-monnaie en raison de contrats bogués ou carrément malveillants. En conséquence, certains experts du secteur conseillent aux utilisateurs de révoquer régulièrement les approbations afin de se protéger d'éventuels dommages financiers. Étant donné que les interfaces de la majorité des applications Web3 ne permettent pas explicitement aux utilisateurs de modifier le nombre de jetons accordés, les utilisateurs perdent souvent la totalité de leur solde de jetons s'il est découvert qu'une application a un problème de sécurité. Bien que MetaMask et d'autres portefeuilles ont tenté de résoudre ce problème en permettant aux utilisateurs de modifier les approbations de jetons pendant le processus de confirmation du portefeuille, la majorité des utilisateurs de crypto-monnaie ne sont toujours pas informés des conséquences potentielles de ne pas utiliser cette fonction.
Source : https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack