根据该团队 17 月 2 日在该项目官方 Discord 频道发布的事后报告,多链交易所聚合器 Dexible 已被漏洞利用,直接后果是价值 XNUMX 万美元的比特币被盗。
截至 UTC 时间 17 月 6 日下午 35 点 XNUMX 分,Dexible 的前端会在用户访问任何时候显示有关黑客入侵的弹出警告。
该团队在世界标准时间上午 6 点 17 分表示,它发现了“Dexible v2 合约可能遭到黑客攻击”,当时正在调查此事。 大约九小时后发布了第二份声明,据说该公司现在知道“2,047,635.17 个交易地址中的 17 美元被利用了”。 4 个在主网上,13 个在 arbitrum 上。”
在世界标准时间下午 4:00 以 PDF 文件形式提供了验尸报告,并在 Discord 上提供。 该团队还表示,它“目前正在制定修复计划”。
该组织在报告中表示,当其创始人之一出于当时尚不清楚的原因将价值 50,000 美元的加密资产从他的钱包中转出时,它意识到出了点问题。 此举的原因当时不为人知。 经过调查,该团队得出结论,对手利用该应用程序的 selfSwap 功能从之前允许该程序转移其代币的用户那里窃取了价值近 2 万美元的加密货币。
用户可以通过使用 selfSwap 功能将一种代币换成另一种代币,这需要他们提供路由器的地址和与其连接的呼叫数据。 但是,该代码不包括已经审查和授权的路由器列表。 为了将用户的代币从他们的钱包转移到攻击者自己的智能合约中,攻击者利用这种方法将交易从 Dexible 路由到每个代币合约。 代币合约并没有阻止这些潜在的危险交易,因为它们起源于 Dexible,用户已经允许用户使用他们的代币。
在将代币接收到他们自己的智能合约中后,攻击者使用 Tornado Cash 提取代币并将其放入他们不知道的 BNB (BNB) 钱包中。
Dexible 合约的执行已停止,该公司已要求用户撤回对此类合约的代币授权。
授权大量代币批准的常见做法有时会由于错误或完全恶意的合同而导致加密货币用户蒙受损失。 因此,一些行业专家建议用户定期撤销批准,以保护自己免受潜在的经济损失。 由于大多数 Web3 应用程序的前端并未明确让用户更改授予的令牌数量,因此如果发现应用程序存在安全问题,用户通常会失去其全部令牌余额。 虽然 MetaMask 和其他钱包试图通过允许用户在钱包确认过程中更改令牌批准来解决这个问题,大多数加密货币用户仍然不知道不使用此功能的潜在后果。
来源:https://blockchain.news/news/2-million-worth-of-cryptocurrency-lost-in-dexible-hack