- Un avertissement contextuel concernant l'attaque a été affiché sur le front-end Dexible.
- L'un des fondateurs s'est fait retirer mystérieusement 50,000 XNUMX USD de crypto-monnaie.
Selon un rapport post-mortem publié par le Souple équipe sur la chaîne Discord officielle du projet le 17 février. L'agrégateur d'échange multichaîne a été violé, entraînant la perte de 2 millions de dollars de cryptocurrencies. À partir de 6h35 UTC le 17 février, un avertissement contextuel concernant l'attaque a été affiché sur le front-end Dexible.
Ils ont annoncé leur découverte d'un piratage possible sur les contrats Dexible v2 à 6h17 UTC. Et ils ont dit qu'ils cherchaient à en savoir plus. Après avoir attendu environ neuf heures, il a publié une deuxième déclaration disant : « 2,047,635.17 17 4 $ ont été exploités à partir de 13 adresses de commerçants. XNUMX sur le réseau principal, XNUMX sur arbitre.” De plus, vers 4h00 UTC, un fichier PDF détaillant l'incident a été téléchargé sur Discord. Et l'équipe a déclaré qu'elle travaillait actuellement sur une stratégie de remédiation.
Exploitation de la fonction SelfSwap
De plus, selon le rapport, l'équipage savait que quelque chose n'allait pas. Lorsque l'un des fondateurs s'est fait retirer mystérieusement 50,000 2 USD de crypto-monnaie de son portefeuille. Les chercheurs ont découvert qu'un attaquant avait transféré plus de XNUMX millions de dollars de crypto-monnaie d'utilisateurs qui avaient permis à l'application de déplacer leurs jetons à l'aide de la fonction selfSwap.
De plus, les jetons peuvent être échangés avec l'utilisation de la fonction selfSwap en entrant le jeton souhaité et l'adresse du routeur ou données d'appel. Au contraire, le code ne fournissait pas de liste de routeurs validés.
L'attaquant a ensuite exploité cette capacité pour envoyer une transaction de Dexible à chaque contrat de jeton, transférant les jetons des portefeuilles des utilisateurs vers le propre contrat intelligent de l'attaquant. Les contrats de jetons n'ont pas empêché ces transactions illicites puisqu'ils provenaient de Dexible, que les clients avaient déjà approuvé pour les dépenses de jetons.
Recommandé pour vous:
Le protocole DeFi dForce exploite 3.65 millions de dollars par un pirate
Source : https://thenewscrypto.com/dex-aggregator-dexible-exploited-of-2-million-in-recent-hack/