根据该团队在该项目官方 Discord 服务器上发布的 2 月 17 日事后报告,多链交换聚合器 Dexible 遭到攻击,价值 XNUMX 万美元的加密货币因此丢失。
截至 UTC 时间 6 月 35 日下午 17:XNUMX,Dexible 前端会在用户导航到它时显示有关黑客攻击的弹出警告。
在世界标准时间早上 6 点 17 分,该团队报告说它发现了“Dexible v2 合约的潜在黑客攻击”,并且正在调查这个问题。 大约九小时后,它发布了第二份声明,称它现在知道“2,047,635.17 美元从 17 个交易员地址中被利用。 4 个在主网上,13 个在 arbitrum 上。”
UTC 时间下午 4:00 以 PDF 文件形式发布了验尸报告,并在 Discord 上发布,该团队表示“正在积极制定补救计划”。
在报告中,该团队表示,当其创始人之一出于当时未知的原因将价值 50,000 美元的加密货币从他的钱包中移出时,它已经注意到出现了问题。 经过调查,该团队发现攻击者使用该应用程序的 selfSwap 功能从之前授权该应用程序移动其代币的用户那里转移了价值超过 2 万美元的加密货币。
selfSwap 功能允许用户提供路由器的地址和与其关联的调用数据,以将一个令牌交换为另一个令牌。 但是,代码中没有写入预先批准的路由器列表。 因此,攻击者使用此功能将交易从 Dexible 路由到每个代币合约,将用户的代币从他们的钱包转移到攻击者自己的智能合约中。 由于这些恶意交易来自用户已经授权使用其代币的 Dexible,因此代币合约并未阻止交易。
相关新闻: NFT 影响者成为网络攻击的受害者,损失超过 300 万美元 CryptoPunks
在将代币接收到自己的智能合约中后,攻击者通过 Tornado Cash 将代币提取到未知的 BNB(BNB)钱包。
Dexible 已暂停其合约,并敦促用户撤销对他们的代币授权。
大量授权代币批准的常见做法有时会由于错误或完全恶意的合同而导致加密用户蒙受损失,导致一些专家警告用户 定期撤销批准. 大多数 Web3 应用程序的前端不允许用户直接编辑批准的代币数量,因此如果应用程序被发现存在安全漏洞,用户通常会失去其代币的全部余额。 MetaMask 和其他钱包试图通过允许用户在钱包确认步骤编辑令牌批准来解决这个问题,但许多加密货币用户仍然没有意识到不使用此功能的风险。
来源:https://cointelegraph.com/news/dexibleapp-aggregator-hacked-for-2m-via-selfswap-function