Laut engem Post-Mortem-Rapport, deen vum Team um offiziellen Discord-Kanal vum Projet de 17. Februar publizéiert gouf, ass de Multichain-Austauschaggregator Dexible vun engem Exploit kompromittéiert ginn, an als direkt Konsequenz gouf Bitcoin Wäert vun 2 Milliounen Dollar geklaut.
Zënter dem 17. Februar, 6:35 UTC, weist de Frontend vun Dexible eng Popup-Warnung iwwer den Hack wann d'Benotzer et besichen.
D'Team sot um 6:17 Auer UTC datt et "e méigleche Hack op Dexible v2 Kontrakter" fonnt huet a sech deemools an d'Saach ënnersicht. Eng zweet Ausso gouf ongeféier néng Stonne méi spéit erausginn, an där et gesot gouf datt d'Firma elo wousst datt "$ 2,047,635.17 aus 17 Handelsadressen exploitéiert goufen." 4 op Mainnet, 13 op Arbitrum.
E Post-mortem Bericht gouf als PDF-Datei um 4:00 UTC zur Verfügung gestallt an op Discord verfügbar gemaach. D'Team sot och datt et "am Moment un engem Reparaturplang schafft."
D'Organisatioun sot am Bericht datt et bewosst gouf datt eppes falsch war wann ee vu senge Grënner Krypto-Verméigen am Wäert vun $ 50,000 aus sengem Portemonnaie transferéiert huet aus Grënn déi zu där Zäit onkloer waren. D'Grënn fir dës Beweegung waren deemools onbekannt. No hirer Enquête ass d'Team zur Conclusioun komm datt e Géigner d'SelfSwap Feature vun der App benotzt huet fir bal $2 Millioune Wäert vu Krypto-Währung vu Benotzer ze klauen, déi virdru d'Erlaabnes fir de Programm ginn hunn hir Tokens ze transferéieren.
D'Benotzer konnten en Handel vun engem Token fir en aneren maachen andeems se d'SelfSwap Funktioun benotzen, déi se erfuerdert hunn d'Adress vun engem Router an d'Uruffdaten, déi domat verbonne sinn, ze bidden. Wéi och ëmmer, de Code enthält keng Lëscht vu Router déi scho iwwerpréift an autoriséiert goufen. Fir d'Token vun de Benotzer aus hire Portemonnaien an den eegene Smart Kontrakt vum Ugräifer ze réckelen, huet den Ugräifer dës Method benotzt fir eng Transaktioun vun Dexible op all Token Kontrakt ze routen. Token Kontrakter hunn dës potenziell geféierlech Transaktiounen net gestoppt well se aus Dexible staamen, déi d'Benotzer schonn d'Erlaabnis ginn hunn hir Tokens ze benotzen.
Nodeems hien d'Token an hiren eegene Smart Kontrakt kritt huet, huet den Ugräifer d'Mënzen mat Tornado Cash zréckgezunn an se an BNB (BNB) Portemonnaien gesat, déi se net bewosst waren.
D'Ausféierung vun den Dexible Kontrakter gouf gestoppt, an d'Firma huet gefrot datt d'Benotzer hir Token Autorisatioune fir sou Kontrakter zréckzéien.
Déi allgemeng Praxis fir Token Genehmegungen fir grouss Quantitéiten ze autoriséieren kann heiansdo zu Verloschter fir cryptocurrency Benotzer féieren wéinst Buggy oder direkt béiswëlleg Kontrakter. Als Resultat roden e puer Industrieexperten d'Benotzer regelméisseg Genehmegungen zréckzezéien fir sech vu potenzielle finanzielle Schued ze schützen. Well d'Front-Enn vun der Majoritéit vun de Web3 Uwendungen d'Benotzer net explizit erlaben d'Zuel vun den ausgezeechente Tokens z'änneren, verléieren d'Benotzer dacks de ganzen Tokenbalance wann et entdeckt gëtt datt eng App e Sécherheetsproblem huet. Obwuel MetaMask an aner Portemonnaien hunn versicht dëst Thema ze léisen andeems d'Benotzer d'Token Genehmegungen während dem Portemonnaie Bestätegungsprozess änneren, d'Majoritéit vun de Krypto-Währung Benotzer sinn nach ëmmer net informéiert iwwer d'potenziell Konsequenze vun dëser Funktioun net ze benotzen.
Quell: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack