Согласно отчету о вскрытии, опубликованному командой на официальном сервере Discord от 17 февраля, мультичейн-агрегатор бирж DexibleApp подвергся эксплойту, в результате чего была потеряна криптовалюта на сумму 2 миллиона долларов.
По состоянию на 18:35 UTC 17 февраля интерфейс DexibleApp показывает всплывающее предупреждение о взломе всякий раз, когда пользователи переходят к нему.
В 6:17 утра по всемирному координированному времени команда сообщила, что они обнаружили «потенциальный взлом контрактов Dexible v2» и расследуют эту проблему. Примерно через девять часов они опубликовали второе заявление о том, что «теперь они знают, что 2 047 635,17 долларов США были использованы с адресов 17 трейдеров.4 в основной сети, 13 в арбитраже».
Отчет о вскрытии был выпущен в 16:00 по всемирному координированному времени в виде pdf-файла и опубликован на Discord, и команда заявила, что «активно работает над планом исправления».
В отчете команда заявила, что заметила что-то неладное, когда один из ее основателей вывел криптовалюту на сумму 50 000 долларов из своего кошелька по неизвестным в то время причинам. После расследования команда обнаружила, что злоумышленник использовал функцию selfSwap приложения для перемещения криптовалюты на сумму более 2 миллионов долларов от пользователей, которые ранее разрешили приложению перемещать свои токены.
Функция selfSwap позволяла пользователям указывать адрес маршрутизатора и связанные с ним данные вызовов для обмена одного токена на другой. Однако в коде не было прописано списка предварительно утвержденных маршрутизаторов. Итак, злоумышленник использовал эту функцию для маршрутизации транзакции от Dexible к каждому токен-контракту, перемещая токены пользователей из их кошельков в собственный смарт-контракт злоумышленника. Поскольку эти вредоносные транзакции исходили от Dexible, пользователи которого уже разрешили тратить свои токены, токен-контракты не блокировали транзакции.
Связанный: Инфлюенсер NFT стал жертвой кибератаки, потерял $300K+ CryptoPunks
Получив токены в собственный смарт-контракт, злоумышленник вывел монеты через Tornado cash на неизвестные кошельки Binance Coin (BNB).
Dexible приостановила свои контракты и призвала пользователей отозвать для них авторизацию токенов.
Распространенная практика утверждения токенов на большие суммы иногда приводила к потерям для пользователей криптовалюты из-за ошибочных или откровенно злонамеренных контрактов, что вынуждало некоторых экспертов предупреждать пользователей о необходимости отзывать утверждения на регулярной основе. Интерфейсы для большинства приложений Web3 не позволяют пользователям напрямую редактировать количество одобренных токенов, поэтому пользователи часто теряют весь баланс своих токенов, если в приложении обнаруживается брешь в безопасности. Metamask и другие кошельки пытались решить эту проблему, позволяя пользователям редактировать утверждения токенов на этапе подтверждения кошелька. Но многие пользователи криптовалюты до сих пор не осознают риск неиспользования этой функции.
