De Multichain-Austauschaggregator Dexible gouf vun engem Ausbeutung getraff, an $ 2 Milliounen u Krypto-Währung sinn als Resultat verluer gaangen, laut engem Post-Mortem Bericht vum 17. Februar verëffentlecht vum Team um offiziellen Discord Server vum Projet.
Vun 6:35 Auer UTC de 17. Februar, weist den Dexible Frontend eng Popup Warnung iwwer den Hack wann d'Benotzer dohinner navigéieren.
Um 6:17 Auer UTC huet d'Team gemellt datt et "e potenziellen Hack op Dexible v2 Kontrakter" entdeckt huet an d'Thema ënnersicht. Ongeféier néng Stonne méi spéit huet et eng zweet Ausso verëffentlecht datt et elo wousst "$ 2,047,635.17 gouf aus 17 Händleradressen exploitéiert. 4 op Mainnet, 13 op Arbitrum.
E Post-Mortem Bericht gouf um 4:00 UTC als PDF-Datei erausginn an op Discord verëffentlecht, an d'Team sot datt et "aktiv un engem Sanéierungsplang schafft."
Am Bericht seet d'Team datt et gemierkt huet datt eppes falsch war wann ee vu senge Grënner $ 50,000 Wäert vu Krypto aus sengem Portemonnaie geplënnert huet aus Grënn déi zu där Zäit onbekannt waren. No der Enquête huet d'Team festgestallt datt en Ugräifer d'SelfSwap Funktioun vun der App benotzt huet fir iwwer $ 2 Millioune Wäert vu Krypto vu Benotzer ze verschécken, déi d'App virdru autoriséiert haten hir Tokens ze réckelen.
D'SelfSwap Funktioun erlaabt d'Benotzer d'Adress vun engem Router an d'Uruffdaten, déi domat verbonne sinn, ze bidden fir e Swap vun engem Token fir en aneren ze maachen. Wéi och ëmmer, et gouf keng Lëscht vu preapprobéierten Router an de Code geschriwwen. Also, den Ugräifer huet dës Funktioun benotzt fir eng Transaktioun vun Dexible op all Token-Kontrakt ze routen, d'Token vun de Benotzer aus hire Portemonnaien an den eegene Smart Kontrakt vum Ugräifer ze bewegen. Well dës béiswëlleg Transaktioune vun Dexible kommen, déi d'Benotzer scho autoriséiert hunn hir Tokens ze verbréngen, hunn d'Tokenkontrakter d'Transaktioune net blockéiert.
Verbonnen: NFT Influencer fällt Affer vu Cyberattack, verléiert $300K+ CryptoPunks
Nodeems hien d'Token an hiren eegene Smart Kontrakt kritt huet, huet den Ugräifer d'Mënzen duerch Tornado Cash an onbekannt BNB zréckgezunn (BNB) Portemonnaien.
Dexible huet seng Kontrakter gestoppt an d'Benotzer gefuerdert Token Autorisatioune fir si zréckzezéien.
Déi allgemeng Praxis fir Token Genehmegungen fir grouss Quantitéiten ze autoriséieren huet heiansdo zu Verloschter fir Krypto Benotzer gefouert wéinst Buggy oder direkt béiswëlleg Kontrakter, wat e puer Experten féiert fir d'Benotzer ze warnen revoquéiert Genehmegungen regelméisseg. D'Frontends fir déi meescht Web3 Apps erlaben d'Benotzer net direkt d'Zuel vun den approuvéierten Tokens z'änneren, sou datt d'Benotzer dacks de komplette Gläichgewiicht vun hiren Tokens verléieren wann eng App e Sécherheetsfehler huet. MetaMask an aner Portemonnaie hu probéiert dëse Problem ze fixéieren andeems d'Benotzer et erlaben Token-Zerstéierungen am Portemonnaie Bestätegungsschrëtt z'änneren, awer vill Krypto Benotzer sinn nach ëmmer net bewosst iwwer de Risiko dës Feature net ze benotzen.
Quell: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function