Ekibin projenin resmi Discord sunucusunda yayınladığı 2 Şubat tarihli otopsi raporuna göre, çok zincirli borsa toplayıcısı Dexible bir açıktan etkilendi ve bunun sonucunda 17 milyon dolar değerindeki kripto para kaybedildi.
6 Şubat 35:17 UTC itibarıyla, Dexible kullanıcı arayüzünde kullanıcılar her ziyaret ettiğinde hack hakkında açılır bir uyarı gösteriliyor.
Ekip, 6:17 UTC'de "Dexible v2 sözleşmelerinde potansiyel bir saldırı" keşfettiğini ve sorunu araştırdığını bildirdi. Yaklaşık dokuz saat sonra, artık "2,047,635.17 doların 17 tüccar adresinden sömürüldüğünü" bildiğini belirten ikinci bir açıklama yayınladı. 4'ü ana ağda, 13'ü hakemde."
Bir otopsi raporu UTC saatiyle 4:00'da PDF dosyası olarak yayınlandı ve Discord'da yayınlandı ve ekip "aktif olarak bir iyileştirme planı üzerinde çalıştığını" söyledi.
Raporda ekip, kurucularından birinin o sırada bilinmeyen nedenlerle cüzdanından 50,000 dolar değerinde kripto para çıkardığında bir şeylerin ters gittiğini fark ettiğini belirtiyor. Araştırmanın ardından ekip, bir saldırganın uygulamanın selfSwap işlevini kullanarak, daha önce uygulamaya tokenlarını taşıma yetkisi vermiş olan kullanıcılardan 2 milyon dolar değerindeki kriptoyu taşıdığını tespit etti.
SelfSwap işlevi, kullanıcıların bir yönlendiricinin adresini ve onunla ilişkili çağrı verilerini sağlayarak bir belirteci diğeriyle değiştirmesine olanak tanıdı. Ancak kodda önceden onaylanmış yönlendiricilerin listesi yoktu. Böylece saldırgan, bir işlemi Dexible'dan her bir token sözleşmesine yönlendirmek ve kullanıcıların tokenlarını cüzdanlarından saldırganın kendi akıllı sözleşmesine taşımak için bu işlevi kullandı. Bu kötü niyetli işlemler, kullanıcıların zaten tokenlarını harcama yetkisine sahip olduğu Dexible'dan geldiğinden, token sözleşmeleri işlemleri engellemedi.
İlgili: NFT etkileyicisi siber saldırının kurbanı oldu, 300 $ + CryptoPunks kaybetti
Saldırgan, tokenları kendi akıllı sözleşmesine aldıktan sonra, tokenları Tornado Cash aracılığıyla bilinmeyen BNB'ye çekti (BNB) cüzdanlar.
Dexible sözleşmelerini duraklattı ve kullanıcıları kendileri için belirteç yetkilerini iptal etmeye çağırdı.
Büyük miktarlar için token onaylarına izin vermenin yaygın uygulaması, bazen hatalı veya doğrudan kötü niyetli sözleşmeler nedeniyle kripto kullanıcıları için kayıplara yol açmış ve bazı uzmanların kullanıcıları bu konuda uyarmasına yol açmıştır. onayları düzenli aralıklarla iptal etmek. Çoğu Web3 uygulamasının ön uçları, kullanıcıların onaylanan jeton miktarını doğrudan düzenlemesine izin vermez; bu nedenle, bir uygulamanın bir güvenlik kusuruna sahip olduğu ortaya çıkarsa kullanıcılar genellikle jetonlarının tüm bakiyesini kaybederler. MetaMask ve diğer cüzdanlar, kullanıcıların cüzdan onay adımında token onaylarını düzenlemesine izin vererek bu sorunu çözmeye çalıştı ancak birçok kripto kullanıcısı bu özelliği kullanmamanın riskinden hala habersiz.
Kaynak: https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function