根據該團隊 17 月 2 日在該項目官方 Discord 頻道發布的事後報告,多鏈交易所聚合器 Dexible 已被漏洞利用,直接後果是價值 XNUMX 萬美元的比特幣被盜。
截至 UTC 時間 17 月 6 日下午 35 點 XNUMX 分,Dexible 的前端會在用戶訪問任何時候顯示有關黑客入侵的彈出警告。
該團隊在世界標準時間上午 6 點 17 分錶示,它發現了“Dexible v2 合約可能遭到黑客攻擊”,當時正在調查此事。 大約九小時後發布了第二份聲明,據說該公司現在知道“2,047,635.17 個交易地址中的 17 美元被利用了”。 4 個在主網上,13 個在 arbitrum 上。”
在世界標準時間下午 4:00 以 PDF 文件形式提供了驗屍報告,並在 Discord 上提供。 該團隊還表示,它“目前正在製定修復計劃”。
該組織在報告中表示,當其創始人之一出於當時尚不清楚的原因將價值 50,000 美元的加密資產從他的錢包中轉出時,它意識到出了點問題。 此舉的原因當時不為人知。 經過調查,該團隊得出結論,對手利用該應用程序的 selfSwap 功能從之前允許該程序轉移其代幣的用戶那裡竊取了價值近 2 萬美元的加密貨幣。
用戶可以通過使用 selfSwap 功能將一種代幣換成另一種代幣,這需要他們提供路由器的地址和與其連接的呼叫數據。 但是,該代碼不包括已經審查和授權的路由器列表。 為了將用戶的代幣從他們的錢包轉移到攻擊者自己的智能合約中,攻擊者利用這種方法將交易從 Dexible 路由到每個代幣合約。 代幣合約並沒有阻止這些潛在的危險交易,因為它們起源於 Dexible,用戶已經允許用戶使用他們的代幣。
在將代幣接收到他們自己的智能合約中後,攻擊者使用 Tornado Cash 提取代幣並將其放入他們不知道的 BNB (BNB) 錢包中。
Dexible 合約的執行已停止,該公司已要求用戶撤回對此類合約的代幣授權。
授權大量代幣批准的常見做法有時會由於錯誤或完全惡意的合同而導致加密貨幣用戶蒙受損失。 因此,一些行業專家建議用戶定期撤銷批准,以保護自己免受潛在的經濟損失。 由於大多數 Web3 應用程序的前端並未明確讓用戶更改授予的令牌數量,因此如果發現應用程序存在安全問題,用戶通常會失去其全部令牌餘額。 雖然 MetaMask 和其他錢包試圖通過允許用戶在錢包確認過程中更改令牌批准來解決這個問題,大多數加密貨幣用戶仍然不知道不使用此功能的潛在後果。
來源:https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack