Dexibleapp Aggregator Hacked за 2 миллиона долларов с помощью функции Selfswap

Согласно отчету криптовалюты на 2 миллиона долларов, агрегатор Multicain Dexibleapp был пострадал от криптовалюты на сумму 2 миллиона долларов США, опубликованный в посмертном отчете, опубликованном командой на официальном сервере дискордов проекта.

По состоянию на 6:35 вечера UTC 17 февраля на фронте Dexibleapp показывает всплывающее предупреждение о взломе, когда пользователи перемещаются к нему.

В 6:17 утра UTC команда сообщила, что они обнаружили «потенциальный взломан на дексибивных контрактах V2» и расследовали эту проблему. Приблизительно девять часов спустя они опубликовали второе заявление о том, что теперь они «знают, что 2 047 635,17 долл. США было использовано из 17 Trader Adderes. 4 на Mainnet, 13 на Arbitrum».

Последующий отчет был выпущен в 16:00. UTC в качестве файла PDF и выпущен в Discord, и команда заявила, что «активно работает над планом восстановления».

В отчете команда заявила, что она заметила, что что -то не так, когда у одного из его основателей был вышел из его кошелька по причинам, которые были неизвестны в то время. После расследования команда обнаружила, что злоумышленник использовал функцию SelfSwap от приложения, чтобы перенести крипто -индикацию на сумму более 2 миллионов долларов от пользователей, которые ранее разрешили приложение перемещать свои токены.

Функция SelfSwap позволила пользователям предоставить адрес маршрутизатора и Calldata, связанных с ней, чтобы сделать обмен одним токеном на другой. Тем не менее, в Кодекс не было списка предварительно одобренных маршрутизаторов. Таким образом, злоумышленник использовал эту функцию, чтобы направить транзакцию от Dexible к каждому контракту токена, перемещая токены пользователей из своих кошельков в собственный интеллектуальный контракт злоумышленника. Поскольку эти вредоносные транзакции исходили от дексимируемых, которые пользователи уже разрешили тратить свои жетоны, контракты токена не блокировали транзакции.

Получив токены в свой собственный умный контракт, злоумышленник снял монеты через торнадо наличные в кошельки неизвестной монеты Binance (BNB).

Dexible приостановил свои контракты и призвал пользователей отменить для них разрешения на токен.

Обычная практика разрешения одобрения токена для больших сумм иногда приводила к убыткам для пользователей криптовалют из -за глюки или откровенных злонамеренных контрактов, что привело к тому, что некоторые эксперты предупредили пользователей на регулярные отзывы. Frontends для большинства приложений Web3 не позволяют пользователям редактировать количество одобренных токенов, поэтому пользователи часто теряют полный баланс своих токенов, если приложение оказывается недостатком безопасности. Metamask и другие кошельки попытались решить эту проблему, позволив пользователям редактировать одобрения токенов на шаге подтверждения кошелька. Но многие крипто -пользователи по -прежнему не знают о риске не использовать эту функцию.