Prema obdukcijskom izvještaju koji je tim objavio na službenom Discord kanalu projekta 17. februara, multilanac razmjena agregator Dexible je kompromitovan eksploatacijom, a kao direktna posljedica, ukradeno je bitkoin u vrijednosti od 2 miliona dolara.
Od 17. februara, 6:35 UTC, prednji kraj Dexible-a prikazuje iskačuće upozorenje o haku kad god ga korisnici posjete.
Tim je rekao u 6:17 ujutro UTC da je pronašao "mogući hak na Dexible v2 ugovore" i da je u to vrijeme istraživao stvar. Drugo saopštenje je izdato oko devet sati kasnije, u kojem je rečeno da kompanija sada zna da je “2,047,635.17 dolara eksploatisano sa 17 trgovačkih adresa”. 4 na glavnoj mreži, 13 na arbitrumu.”
Obdukcijski izvještaj je dostavljen kao PDF fajl u 4:00 UTC i dostupan na Discordu. Tim je takođe rekao da "trenutno radi na planu popravke".
Organizacija je u izvještaju navela da je postala svjesna da nešto nije u redu kada je jedan od njenih osnivača prebacio kripto imovinu u vrijednosti od 50,000 dolara iz svog novčanika iz razloga koji su tada bili nejasni. Razlozi za ovaj potez tada su bili nepoznati. Nakon njihove istrage, tim je došao do zaključka da je protivnik koristio funkciju self-Swap aplikacije kako bi ukrao kriptovalute u vrijednosti od skoro 2 miliona dolara od korisnika koji su prethodno dali dozvolu programu da prenese njihove tokene.
Korisnici su bili u mogućnosti da izvrše trgovinu jednog tokena za drugi koristeći selfSwap funkciju, koja je od njih zahtijevala da dostave adresu rutera i podatke o pozivima povezanim s njim. Međutim, kod nije uključivao listu rutera koji su već bili pregledani i autorizirani. Kako bi premjestio korisničke tokene iz novčanika u napadačev vlastiti pametni ugovor, napadač je koristio ovu metodu da usmjeri transakciju od Dexible-a do svakog ugovora o tokenu. Ugovori o tokenima nisu zaustavili ove potencijalno opasne transakcije jer su potekle od Dexible-a, kojem su korisnici već dali dozvolu da koriste svoje tokene.
Nakon što je primio tokene u svoj pametni ugovor, napadač je povukao novčiće koristeći Tornado Cash i stavio ih u BNB (BNB) novčanike za koje nije znao.
Izvršenje Dexible-ovih ugovora je zaustavljeno, a kompanija je zatražila da korisnici povuku svoja tokenska ovlaštenja za takve ugovore.
Uobičajena praksa odobravanja tokena za velike količine ponekad može dovesti do gubitaka za korisnike kriptovaluta zbog grešaka ili potpuno zlonamjernih ugovora. Kao rezultat toga, neki stručnjaci iz industrije savjetuju korisnike da redovno povlače odobrenja kako bi se zaštitili od potencijalne finansijske štete. Budući da prednji dijelovi većine Web3 aplikacija izričito ne dozvoljavaju korisnicima da mijenjaju broj dodijeljenih tokena, korisnici često gube cijeli saldo tokena ako se otkrije da aplikacija ima sigurnosni problem. Iako MetaMask i drugi novčanici su pokušali riješiti ovaj problem omogućavajući korisnicima da mijenjaju odobrenja tokena tokom procesa potvrde novčanika, većina korisnika kriptovaluta još uvijek nije obaviještena o potencijalnim posljedicama nekorištenja ove funkcije.
Izvor: https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack